Accès au cloud : dernières offres contre les hackers d'accès initial - Lacework

Accès au cloud : dernières offres contre les hackers d'accès initial

Lacework Labs

June 1, 2021

Greg Foss
Cloud Security Researcher – Lacework Labs

 

Résumé

Initial Access Brokers (IAB) have become commonplace across cybercrime marketplaces in recent years. A practice that has evolved from the opportunistic compromise of one-off internet-facing assets for resale as mere proxies, to now including the targeting of corporate networks, assessing the environment for business value, and ultimately selling access into the organization for usage by ransomware gangs, espionage, and everything else in between. Amazon AWS, Google Cloud, and Azure administrative accounts have quickly become the new hotness in underground marketplaces.

Hackers d'accès initial

Ces acteurs jouent un rôle central dans l'écosystème global de la cybercriminalité. En repérant et en compromettant des organisations, ils fournissent un service précieux à d'autres criminels qui n'ont pas nécessairement les compétences requises pour l'exploitation initiale. L'acheteur cible a probablement accès à des ransomwares en tant que services (RaaS), à des cryptominers ou à d'autres malwares et cherche simplement un endroit où les déployer. Cette association continue d'avoir des répercussions critiques sur les organisations et les individus dans le monde entier, en contribuant de manière significative à l'explosion des ransomwares et du cryptojacking que nous observons généralement lorsque les obstacles à l'entrée sont limités. Alors que la plupart des gangs prolifiques de ransomwares gèrent leurs propres opérations de bout en bout, il existe de nombreux acteurs plus petits et plus spécialisés qui ont maintenant accès à un monde de possibilités qui n'existaient pas il y a quelques années.

Offre d'accès à un réseau du gouvernement américain sur XSS.is Offre d'accès à un réseau du gouvernement américain sur XSS.is

 

Si les nations rivales font la une des nouvelles du soir, on sous-estime souvent l'organisation des groupes de cybercriminels. Ils sont composés d'individus compétents et reliés entre eux qui jouissent souvent de l'avantage de l'anonymat général. En raison de la nature des marchés de crimewares modernes, nombre d'entre eux œuvrent en totale autonomie pour maximiser les profits qu'ils tirent des entreprises prises pour cibles. Certains d'entre eux agissent même depuis l'intérieur de l'entreprise visée. Cet anonymat joue un rôle critique pour brouiller les pistes au moment de trouver le responsable d'une attaque. Souvent, les personnes qui compromettent l'organisation ne sont pas celles qui déploient le ransomware ou qui se chargent des étapes suivantes de l'attaque.

Compromettre un réseau n'est jamais une mince affaire, il faut donc redoubler de créativité pour augmenter son retour sur investissement. Avec un peu de recul, de nombreuses attaques ne sont pas l'œuvre d'un seul groupe de personnes partageant un même objectif. La réalité s'apparente davantage à un mélange de communautés et se traduit par la participation d'individus divers, ce qui entraîne l'industrialisation de la cybercriminalité dont nous sommes aujourd'hui témoins.

D'après un rapport publié par Cybercrime Magazine, on estime que « les coûts mondiaux de la cybercriminalité [vont] augmenter de 15 % par an au cours des cinq prochaines années, pour atteindre 10 500 milliards de dollars par an en 2025 », ce qui est une projection incroyablement stupéfiante et pourtant tout à fait réaliste.

Ascension des hackers d'accès initial dans le cloud

Même si une majorité des attaques liées au cloud étaient centrées sur l'exploitation de services éphémères par des botnets de cryptomining, cela ne représente en réalité que la partie émergée de l'iceberg. Tout comme les entreprises continuent d'exploiter davantage le cloud, leurs adversaires font de même, en adaptant leurs techniques, stratégies et procédures pour tirer parti de la revente d'accès aux comptes de gestion du cloud et aux infrastructures connexes.

Offre de clés racine AWS publiée sur Exploit.in Offre de clés racine AWS publiée sur le forum Exploit.in

Jusqu'à récemment, la revente d'accès au cloud se fondait sur des comptes d'essai gratuit associés à un crédit initial issu d'inscriptions avec des cartes prépayées et de fausses informations. Les cybercriminels se sont depuis rendu compte de l'utilité d'accéder à des infrastructures cloud d'entreprises. La plupart des offres les plus populaires indiquent un accès au port 25 SMTP et à des crédits de relai de messages permettant de transmettre des spams et de lancer des attaques d'hameçonnage. Ce type d'abus peut s'avérer très coûteux pour l'entreprise et nuire à sa réputation, ce qui entraîne des répercussions négatives à long terme sur ses activités. Cependant, les cibles principales restent les clés racine AWS.

Selon une étude récente publiée par la Cloud Native Computing Foundation, « la gestion des identités et des accès (IAM) est le plus grand vecteur d'attaque, quelle que soit la plateforme ou le fournisseur, et il est essentiel de gérer soigneusement les politiques IAM pour fournir aux développeurs et aux agents un accès sécurisé au code source. Les agents Pipeline et les développeurs humains doivent avoir un accès et des privilèges calibrés en fonction de leurs rôles au sein de l'organisation et disposer de moyens sécurisés pour s'authentifier à ces rôles. »

Offre de clés racine cloud AWS publiée sur XSS.is Offre de clés racine cloud AWS publiée sur le forum XSS.is

L'accès racine à l'infrastructure cloud des entreprises technologiques bénéficiant d'un accès étendu à d'autres organisations, tels que des fournisseurs de services gérés, est une cible idéale pour les cybercriminels. Compromettre ce type d'organisations peut permettre d'accéder à beaucoup plus d'identifiants et d'informations sensibles que si l'attaque vise une entreprise particulière. Le cloud rend ces informations plus accessibles et permet de centraliser les opérations, ce qui ouvre la voie à des répercussions rapides et de large portée.

Accès à un fournisseur de services gérés à vendre avec un impact potentiel de grande portée Accès à un fournisseur de services gérés à vendre avec un impact potentiel de grande portée

While initial access brokers still primarily target organizations opportunistically through exposed Remote Desktop Protocol (RDP), phishing, and related attacks against core infrastructure and employees, the resale of cloud root keys, access to Kubernetes management nodes, and cloud services, in general, is growing exponentially. What started as one-off marketplace postings continues to escalate as criminals began to understand and operationalize the utility of access to these services above and beyond cryptocurrency mining.

Répercussions

Le cryptojacking (T1496) seul peut être extrêmement coûteux pour les entreprises. Si vous commencez à envisager la possibilité qu'une personne malveillante obtienne un accès administratif à l'infrastructure cloud, la donne change complètement. Les hackers pourraient accéder à des données sensibles, perturber, dégrader et détruire des environnements entiers, et même des attaques en apparence aussi inoffensives que le cryptomining deviennent très graves lorsque les portes du royaume sont ouvertes. L'exploitation de nouvelles ressources et l'exploration de données à grande échelle peuvent s'avérer extrêmement coûteuses, avec un impact immédiat sur les finances de l'organisation dans son ensemble si des barrières de sécurité n'ont pas été mises en place.

Accès à vendre sur la marketplace XSS.is Valeur maximale des ressources de Cloud Compute Engine

L'affaire ne s'arrête pas à l'accès aux ressources. Les journaux et autres informations sensibles qui peuvent être accessibles dans l'environnement sont souvent un trésor de données rentables. Des marchés entiers se consacrent à la revente de journaux depuis les serveurs Web et les journaux de services cloud peuvent offrir des informations précieuses aux opposants qui peuvent ainsi extraire des identifiants, des jetons de session et des données connexes qu'ils peuvent utiliser pour étendre leurs opérations.

Revente de journaux de services cloud sur un forum de crimewares populaire, en russe Revente de journaux de services cloud sur un forum de crimewares populaire, en russe

Quel que soit l'objectif final, les offres d'identifiants racine AWS, GCP et Azure fleurissent de toutes parts.

aws-root-credentials Identifiants racine AWS d'un compte très connu en vente sur le forum Raid.

Des transactions de haute volée s'exécutent en seulement quelques heures.

Identifiants racine AWS vendus pour 15 000 USD Vente achevée en à peine plus d'une heure

Atténuation des risques

Pour contrer la montée des hackers d'accès au cloud, les organisations doivent penser de manière globale aux protections en place pour sécuriser, contrôler et protéger leurs infrastructures cloud. 

  • Former le personnel pour garantir la sécurité et procéder à des simulations d'hameçonnage ainsi qu'à des tests et des vérifications continus sur les utilisateurs finaux sont essentiels pour votre entreprise.
  • Assurez-vous d'avoir mis en place un système d'authentification à plusieurs facteurs pour tous les actifs en lien avec l'extérieur.
  • Interchanger les clés principales régulièrement, tous les 45 jours, est recommandé et peut être automatisé.
  • Mettez en œuvre des limites d'instance, de facturation et d'utilisation avec un système d'alerte et de prévention.
  • Contrôlez les éléments vulnérables sur Internet et corrigez les erreurs rapidement et efficacement.
  • Respectez les normes de compliance, effectuez un suivi continu et informez vos employés des changements.
  • Mettez en place des alertes en cas d'adresses IP inconnues accédant à votre infrastructure.
  • Portez attention aux modifications des autorisations et en particulier aux accès nouvellement attribués aux clés principales.
  • Mettez en œuvre une protection des workloads dans le cloud et des activités de routine de base et alertez sur les déviations.

Abonnez-vous à @LaceworkLabs sur Twitter et LinkedIn pour suivre nos dernières recherches.