Хакеры могут использовать такие разрешения для перемещения по сети жертвы и расширения поверхности атаки.
Команда исследователей Palo Alto Unit 42 пришла к выводу, что облачные пользователи, роли, службы и ресурсы предоставляют чрезмерные разрешения, подвергая организации риску компрометации. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) открывает двери для злоумышленников, нацеленным на облачную инфраструктуру и учетные данные.
Исследователи Unit 42 проанализировали более 680 тыс. удостоверений в 18 тыс. облачных учетных записях и более чем 200 различных организациях с целью понять их конфигурации и модели использования. Как оказалось, 99% облачных пользователей, ролей, сервисов и ресурсов предоставили «чрезмерные разрешения», которые не использовались в течение 60 дней. Хакеры могут использовать такие разрешения для перемещения по сети жертвы и расширения радиуса атаки.
Неиспользуемых или избыточных разрешений во встроенных политиках безопасности контента (CSP) было в два раза больше, чем в политиках, созданных клиентами.
«Удаление этих разрешений может значительно снизить риск, которому подвергается каждый облачный ресурс, и свести к минимуму поверхность атаки для всей облачной среды», — отметили эксперты.
Неправильные настройки являются причиной 65% обнаруженных киберинцидентов в облаке, в то время как 53% проанализированных облачных учетных записи использовали ненадежный пароль, а 44% — повторно использовали пароли. Более того, почти две трети (62%) организаций имеют общедоступные облачные ресурсы.
Команда Unit 42 обнаружила и идентифицировала пять киберпреступных группировок, использующих уникальные методы для непосредственного нападения на платформы облачных сервисов.
TeamTNT — самая опасная угроза с точки зрения методов подсчета облачных идентификаторов. Операции группировки включают перемещение внутри кластеров Kubernetes, создание ботнетов IRC и захват скомпрометированных ресурсов облачной рабочей нагрузки для майнинга криптовалюты Monero.
WatchDog — использует специально созданные скрипты на языке Go, а также перепрофилированные скрипты криптоджекинга от других группировок (включая TeamTNT) и представляет собой угрозу, нацеленную на открытые облачные экземпляры и приложения.
Kinsing — группировка, нацеленная на сбор облачных учетных данных, открытые API-интерфейсы Docker Daemon с использованием вредоносных процессов на основе GoLang в контейнерах Ubuntu.
Rocke — специализируется на операциях с программами-вымогателями и криптоджекингом в облачных средах и известна тем, что использует вычислительную мощность скомпрометированных систем на базе Linux, обычно размещенных в облачной инфраструктуре.
8220 — группировка использует инструменты PwnRig или DBUsed, которые представляют собой варианты программного обеспечения для майнинга XMRig Monero. Считается, что группировка возникла из форка GitHub программного обеспечения группировки Rocke.
От классики до авангарда — наука во всех жанрах