Las bandas de ciberdelincuentes aprovecharon las vulnerabilidades de los sitios web públicos para robar las credenciales de la nube de Amazon Web Services (AWS) y otros datos de miles de organizaciones, en una operación cibernética masiva que implicó escanear millones de sitios en busca de puntos finales vulnerables.
Los investigadores independientes de ciberseguridad Noam Rotem y Ran Locar del grupo de investigación CyberCyber Labs, poco organizado, descubrieron la operación en agosto y la informaron a VPNMentorcual publicado una publicación de blog el 9 de diciembre sobre sus hallazgos. Los atacantes parecen estar vinculados a los conocidos grupos de amenazas Nemesis y ShinyHunters, el último de los cuales probablemente sea mejor conocido por una violación de la nube a principios de este año que robó los datos de medio millón de personas. Clientes de Ticketmaster.
“Estas dos “bandas” representan un sindicato de ciberdelincuentes técnicamente sofisticados que operan a gran escala con fines de lucro y utilizan sus habilidades técnicas para identificar debilidades en los controles de las empresas que migran a la computación en la nube sin comprender completamente la complejidad de los servicios o los controles. ofrecido en computación en la nube. ” señala Jim Routh, director de confianza de Saviynt, una empresa de gestión de seguridad e identidad en la nube.
Irónicamente, sin embargo, los investigadores descubrieron la operación cuando los propios atacantes de habla francesa cometieron un paso en falso basado en la nube: almacenaron algunos de los datos recopilados de las víctimas en un depósito de AWS Simple Storage Service (S3) que contenía 2 TB de archivos. datos y se dejó abierto debido a una mala configuración por parte de su propietario, según el mensaje.
“El depósito S3 se utilizó como un ‘disco compartido’ entre los miembros del grupo de ataque, según el código fuente de las herramientas utilizadas por ellos”, escribió el equipo de investigación de vpnMentor en la publicación.
Entre los datos robados en la operación se encontraban credenciales de infraestructura, código fuente propietario, bases de datos de aplicaciones e incluso credenciales para servicios externos adicionales. El depósito también incluía el código y las herramientas de software utilizadas para ejecutar la operación, así como miles de claves y secretos recuperados de las redes de las víctimas, dijeron los investigadores.
Secuencia de ataque de dos partes
Finalmente, los investigadores reconstruyeron una secuencia de ataque en dos etapas: descubrimiento y explotación. Los atacantes comenzaron con una serie de scripts para escanear grandes rangos de direcciones IP propiedad de AWS, buscando “vulnerabilidades conocidas de aplicaciones así como errores atroces”, según el equipo de vpnMentor.
Los atacantes utilizaron el motor de búsqueda informática Shodan para realizar una búsqueda inversa de direcciones IP, utilizando una utilidad de su arsenal para obtener los nombres de dominio asociados con cada dirección IP existente en los rangos de AWS para expandir su ataque de dominio. En un esfuerzo por ampliar aún más la lista de dominios, también analizaron el certificado SSL servido por cada IP para extraer los nombres de dominio asociados a él.
Después de determinar los objetivos, comenzaron un proceso de análisis, primero para encontrar puntos finales genéricos expuestos y luego para categorizar el sistema, como Laravel, WordPress, etc. Una vez hecho esto, realizaron más pruebas, intentando extraer información de acceso a la base de datos, claves y secretos de clientes de AWS, contraseñas, credenciales de la base de datos, información de la base de datos, identificación de cuentas de Google y Facebook, claves criptográficas públicas y privadas (para CoinPayment, Binance y BitcoinD). y mucho más desde puntos finales específicos del producto.
“Cada conjunto de credenciales fue probado y verificado para determinar si estaba activo o no”, según la publicación. “También fueron escritos para producir archivos para su explotación en una etapa posterior de la operación”.
Cuando se encontraron y verificaron las credenciales de clientes de AWS expuestas, los atacantes también intentaron verificar los privilegios en servicios clave de AWS, incluidos: Gestión de identidad y acceso (IAM), Servicio de correo electrónico simple (SES), Servicio de notificación simple (SNS) y S3.
Atribución de ciberatacantes y respuesta de AWS
Los investigadores rastrearon a los perpetradores a través de herramientas utilizadas en la operación, que “parecen ser las mismas” que las utilizadas por ShinyHunters. Las herramientas están documentadas en francés y firmadas por “Sezyo Kaizen”, un seudónimo asociado con Sébastien Raoult, miembro de ShinyHunters que fue arrestado y se declaró culpable de cargos penales a principios de este año.
Los investigadores también recuperaron una firma utilizada por el operador de un mercado de la Dark Web llamado “Mercado negro de Némesis”, que se centra en la venta de credenciales de inicio de sesión robadas y cuentas utilizadas para spam.
Los investigadores, que trabajan en Israel, informaron sus hallazgos a la Dirección de Ciberseguridad de Israel a principios de septiembre y luego informaron a AWS Security en un informe enviado el 26 de septiembre. La empresa inmediatamente tomó medidas para mitigar el impacto y alertar a los clientes afectados sobre el incidente. riesgo, según vpnMentor.
Al final, el equipo de AWS descubrió que la operación apuntaba a vulnerabilidades presentes en el lado de la aplicación cliente del modelo de nube de responsabilidad compartida y no reflejó ninguna mala conducta por parte de AWS, con lo que los investigadores dijeron que estaban “completamente de acuerdo”. El equipo de seguridad de AWS confirmó que completó su investigación y medidas de mitigación el 9 de noviembre y dio luz verde a los investigadores para revelar el incidente.
Algunas medidas que las organizaciones pueden tomar para evitar un ataque similar en sus respectivos entornos de nube incluyen garantizar que las credenciales codificadas nunca estén presentes en su código o incluso en su sistema de archivos, donde personas no autorizadas podrían acceder a ellas.
Las organizaciones también deben realizar análisis web sencillos utilizando herramientas de código abierto como “dirsearch” o “nikto”, que suelen utilizar los atacantes perezosos para identificar vulnerabilidades comunes. Esto les permitirá encontrar fallas en su entorno antes de que lo haga un actor malicioso, señalan los investigadores.
Un firewall de aplicaciones web (WAF) también es una solución relativamente económica para bloquear actividades maliciosas, y también vale la pena “lanzar” claves, contraseñas y otros secretos periódicamente, dijeron. Las organizaciones también pueden crear Fichas Canarias en su código en ubicaciones secretas, observaron los investigadores, que actúan como cables trampa para alertar a los administradores de que un atacante podría estar husmeando donde no debería estar.
Routh dice que el incidente también brinda una oportunidad de aprendizaje para las organizaciones que, cuando se les presentan nuevas opciones tecnológicas, deberían ajustar y diseñar controles cibernéticos para lograr resiliencia en lugar de optar por métodos de control convencionales.