Group IB

99% облачных ресурсов предоставляют чрезмерные разрешения

15.04.2022
99% облачных ресурсов предоставляют чрезмерные разрешения

Команда исследователей Palo Alto Unit 42 пришла к выводу, что облачные пользователи, роли, службы и ресурсы предоставляют чрезмерные разрешения, подвергая организации риску компрометации. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) открывает двери для злоумышленников, нацеленным на облачную инфраструктуру и учетные данные, сообщает SecurityLab.

Исследователи Unit 42 проанализировали более 680 тыс. удостоверений в 18 тыс. облачных учетных записях и более чем 200 различных организациях с целью понять их конфигурации и модели использования. Как оказалось, 99% облачных пользователей, ролей, сервисов и ресурсов предоставили «чрезмерные разрешения», которые не использовались в течение 60 дней. Хакеры могут использовать такие разрешения для перемещения по сети жертвы и расширения радиуса атаки.

Неиспользуемых или избыточных разрешений во встроенных политиках безопасности контента (CSP) было в два раза больше, чем в политиках, созданных клиентами.

«Удаление этих разрешений может значительно снизить риск, которому подвергается каждый облачный ресурс, и свести к минимуму поверхность атаки для всей облачной среды», — отметили эксперты.

Неправильные настройки являются причиной 65% обнаруженных киберинцидентов в облаке, в то время как 53% проанализированных облачных учетных записи использовали ненадежный пароль, а 44% — повторно использовали пароли. Более того, почти две трети (62%) организаций имеют общедоступные облачные ресурсы.

Команда Unit 42 обнаружила и идентифицировала пять киберпреступных группировок, использующих уникальные методы для непосредственного нападения на платформы облачных сервисов.

  • TeamTNT — самая опасная угроза с точки зрения методов подсчета облачных идентификаторов. Операции группировки включают перемещение внутри кластеров Kubernetes, создание ботнетов IRC и захват скомпрометированных ресурсов облачной рабочей нагрузки для майнинга криптовалюты Monero.

  • WatchDog — использует специально созданные скрипты на языке Go, а также перепрофилированные скрипты криптоджекинга от других группировок (включая TeamTNT) и представляет собой угрозу, нацеленную на открытые облачные экземпляры и приложения.

  • Kinsing — группировка, нацеленная на сбор облачных учетных данных, открытые API-интерфейсы Docker Daemon с использованием вредоносных процессов на основе GoLang в контейнерах Ubuntu.

  • Rocke — специализируется на операциях с программами-вымогателями и криптоджекингом в облачных средах и известна тем, что использует вычислительную мощность скомпрометированных систем на базе Linux, обычно размещенных в облачной инфраструктуре.

  • 8220 — группировка использует инструменты PwnRig или DBUsed, которые представляют собой варианты программного обеспечения для майнинга XMRig Monero. Считается, что группировка возникла из форка GitHub программного обеспечения группировки Rocke.