Bandas de ciberdelincuentes se llevan miles de credenciales de AWS

Como
Gustó

Fecha:

Las bandas de cibercriminales han explotado vulnerabilidades en sitios web públicos para robar credenciales de la nube de Amazon Web Services (AWS) y otros datos de miles de organizaciones, en una operación cibernética masiva que implicó escanear millones de sitios en busca de puntos finales vulnerables.

Los investigadores independientes de ciberseguridad Noam Rotem y Ran Locar, del grupo de investigación CyberCyber ​​Labs, descubrieron la operación en agosto y la informaron a vpnMentor, cual publicado El 9 de diciembre, publicaron una entrada en un blog sobre sus hallazgos. Los atacantes parecen estar conectados con los conocidos grupos de amenazas Nemesis y ShinyHunters, el último de los cuales probablemente sea más conocido por una violación de la nube a principios de este año que robó datos de medio millón de personas. Clientes de Ticketmaster.

“Ambas 'pandillas' representan un sindicato de cibercriminales técnicamente sofisticado que opera a gran escala con fines de lucro y utiliza sus habilidades técnicas para identificar debilidades en los controles de las empresas que migran a la computación en la nube sin comprender plenamente la complejidad de los servicios ni los controles que ofrece la computación en la nube”, señala Jim Routh, director de confianza de Saviynt, una empresa de gestión de seguridad e identidad en la nube.

Irónicamente, sin embargo, los investigadores descubrieron la operación cuando los atacantes francófonos cometieron su propio paso en falso en la nube: almacenaron algunos de los datos recolectados de las víctimas en un depósito de AWS Simple Storage Service (S3) que contenía 2 TB de datos y quedó abierto debido a una mala configuración de su propietario, según la publicación.

Relacionado:Los atacantes pueden usar códigos QR para eludir el aislamiento del navegador

“El bucket S3 se estaba utilizando como una 'unidad compartida' entre los miembros del grupo de ataque, según el código fuente de las herramientas que utilizaban”, escribió el equipo de investigación de vpnMentor en la publicación.

Entre los datos robados en la operación se encontraban credenciales de infraestructura, código fuente propietario, bases de datos de aplicaciones e incluso credenciales para servicios externos adicionales. El conjunto también incluía el código y las herramientas de software utilizadas para ejecutar la operación, así como miles de claves y secretos extraídos de las redes de las víctimas, dijeron los investigadores.

Secuencia de ataque de dos partes

Los investigadores finalmente reconstruyeron una secuencia de ataque de dos pasos: descubrimiento y explotación. Los atacantes comenzaron con una serie de scripts para escanear amplios rangos de direcciones IP pertenecientes a AWS, en busca de "vulnerabilidades conocidas en las aplicaciones, así como errores flagrantes", según el equipo de vpnMentor.

Los atacantes emplearon el motor de búsqueda de TI Shodan para realizar una búsqueda inversa de las direcciones IP, utilizando una utilidad de su arsenal para obtener los nombres de dominio asociados con cada dirección IP que existe dentro de los rangos de AWS para ampliar su superficie de ataque. En un esfuerzo por ampliar aún más la lista de dominios, también analizaron el certificado SSL proporcionado por cada IP para extraer los nombres de dominio asociados a él.

Relacionado:Wyden y Schmitt piden que se investiguen los sistemas telefónicos del Pentágono

Después de determinar los objetivos, comenzaron un proceso de escaneo, primero para encontrar puntos finales genéricos expuestos y luego para categorizar el sistema, como Laravel, WordPress, etc. Una vez hecho esto, realizarían más pruebas, intentando extraer información de acceso a la base de datos, claves y secretos de clientes de AWS, contraseñas, credenciales de la base de datos, credenciales de cuentas de Google y Facebook, claves públicas y privadas criptográficas (para CoinPayment, Binance y BitcoinD), y más de los puntos finales específicos del producto.

“Cada conjunto de credenciales fue probado y verificado para determinar si estaba activo o no”, según la publicación. “También se escribieron en archivos de salida para ser explotados en una etapa posterior de la operación”.

Cuando se encontraron y verificaron las credenciales de clientes de AWS expuestas, los atacantes también intentaron verificar privilegios en servicios clave de AWS, incluidos: gestión de identidad y acceso (IAM), Servicio de correo electrónico simple (SES), Servicio de notificación simple (SNS) y S3.

Atribución de ciberatacantes y respuesta de AWS

Relacionado:Las infecciones con el software espía Pegasus proliferan en dispositivos iOS y Android

Los investigadores rastrearon a los perpetradores a través de las herramientas utilizadas en la operación, que “parecen ser las mismas” que las utilizadas por ShinyHunters. Las herramientas están documentadas en francés y firmadas por “Sezyo Kaizen”, un alias asociado con Sébastien Raoult, un miembro de ShinyHunters que fue arrestado y se declaró culpable de cargos criminales a principios de este año.

Los investigadores también recuperaron una firma utilizada por el operador de un mercado de la Dark Web llamado “Mercado negro de Nemesis”, que se centra en la venta de credenciales de acceso robadas y cuentas utilizadas para spam.

Los investigadores, que trabajan desde Israel, informaron sus hallazgos a la Dirección Cibernética israelí a principios de septiembre y luego notificaron a AWS Security en un informe enviado el 26 de septiembre. La empresa tomó medidas de inmediato para mitigar el impacto y alertar a los clientes afectados sobre el riesgo, según vpnMentor.

Finalmente, el equipo de AWS descubrió que la operación apuntaba a fallas presentes en el lado de la aplicación del cliente. modelo de nube de responsabilidad compartida y no reflejó ningún error de AWS, con lo que los investigadores dijeron estar “plenamente de acuerdo”. El equipo de seguridad de AWS confirmó que completó su investigación y mitigación el 9 de noviembre y dio luz verde a los investigadores para divulgar el incidente.

Algunas medidas que las organizaciones pueden tomar para evitar un ataque similar contra sus respectivos entornos de nube incluyen asegurarse de que las credenciales codificadas nunca estén presentes en su código o incluso en su sistema de archivos, donde podrían ser accedidas por partes no autorizadas.

Las organizaciones también deberían realizar escaneos web simples utilizando herramientas de código abierto como “dirsearch” o “nikto”, que suelen ser utilizadas por atacantes perezosos para identificar vulnerabilidades comunes. Esto les permitirá encontrar agujeros en su entorno antes de que lo haga un actor malicioso, señalaron los investigadores.

Un firewall de aplicaciones web (WAF) también es una solución relativamente económica para bloquear la actividad maliciosa, y también vale la pena "copiar" claves, contraseñas y otros secretos periódicamente, dijeron. Las organizaciones también pueden crear tokenscanarios en su código, en lugares secretos, observaron los investigadores, que actúan como trampas para alertar a los administradores de que un atacante puede estar husmeando donde no debería estar.

Routh dice que el incidente también brinda una oportunidad de aprendizaje para las organizaciones que, cuando se les presentan nuevas opciones tecnológicas, deben ajustar y diseñar controles cibernéticos para lograr resiliencia en lugar de optar por métodos de control convencionales.

Artículos relacionados

punto_img

Artículos Recientes

punto_img