Dwa rodzaje cyberataków, które zdominowały Internet w ciągu ostatniego roku, to ransomware oraz ataki na łańcuch dostaw dla usług. Te pierwsze zostały popełnione głównie przez cyber-gangi, które chcą szybko zarobić. Te drugie, były przede wszystkim domeną państw i mocarstw światowych, które chciały poszerzyć swoje możliwości gromadzenia informacji.

Istnieje duża szansa, że niedługo te dwa podejścia zaczną się zbiegać — i stanie się to w chmurze.

Jednym z przykładów tego, co już się dzieje, jest atak ransomware, który wykorzystywał oprogramowanie Kaseya. Był to inny rodzaj ataku, ponieważ łańcuch dostaw składał się z dostawców zarządzanych usług bezpieczeństwa (MSSP), którzy hostowali oprogramowanie Kaseya w imieniu swoich klientów. Sam Kaseya (w przeciwieństwie do SolarWinds) nie został zhakowany, a cała akcja odbyła się poniżej tego poziomu.

Dlaczego oprogramowanie ransomware i łańcuch dostaw łączą się? Historycznie rzecz biorąc, to, co zaczęło się jako techniki grup APT przeszło do testów penetracyjnych i narzędzi dla zespołów Red Team, a ostatecznie zostało zaimplementowane w atakach podejmowanych przez hakerów poszukujących zysku. Nie ma powodu sądzić, że w tym przypadku będzie inaczej. Dlatego warto rozważyć narzędzia i techniki wykorzystywane w atakach na łańcuchy dostaw jako zwiastun tego, co może nastąpić w przypadku ataków ransomware.


Wykorzystywanie usług chmurowych

Rządy państwowe mają mnóstwo czasu i kapitału ludzkiego do wykorzystania w działaniach związanych z łańcuchem dostaw, więc złożoność lub stosunkowo nieznany charakter środowiska nie stanowią istotnej bariery. W rzeczywistości wiele ataków grup APT obejmuje komponenty w chmurze — często mieszają one i dopasowują tradycyjne kroki wykonywane lokalnie w ataku z krokami podejmowanymi w chmurze.

Przykładem jest hacker odpowiedzialny za SolarWinds. Po włamaniu się do SolarWinds i mozolnym stworzeniu i wstawieniu ładunku do oprogramowania Orion, Cozy Bear (znany również jako rosyjski SVR) czekał, aż aktualizacje oprogramowania zostaną wydane, a zainfekowane serwery Orion wykonają Call-Home. Następstwem tego był staranny wybór celów o wysokiej wartości. Jednym z typowych podejść, które zaobserwowano w przypadku wielu celów, była kradzież klucza podpisywania certyfikatu SAML przez osoby atakujące. Ostatecznym celem było umożliwienie podszywania się pod uwierzytelnionego użytkownika uzyskującego dostęp do danych w usłudze Office 365 lub innych aplikacjach dostarczanych jako SaaS.

Wszystko to ma miejsce w kontekście monitorowania bezpieczeństwa o określonym zakresie (centrum danych, chmura, tożsamość federacyjna, punkty końcowe itp.) — ogólnie rzecz biorąc, monitorowanie bezpieczeństwa wdrożone przez większość organizacji nie sprawdza się dobrze w łączeniu tych zakresów razem, co stanowi kolejną zaletę dla zaawansowanych atakujących.


Jak wygląda i będzie wyglądać ransomware?

W przeciwieństwie do powyższego, większość ataków ransomware, które trafiły do analizy badaczy, była stosunkowo przyziemna. Atakujący wykorzystali dobrze znane narzędzia, które są również używane przez pentesterów (Mimikatz, Cobalt Strike, BloodHound itp.), do przeprowadzania ataków na stosunkowo tradycyjne środowiska IT.

Ogólnie rzecz biorąc, w bardzo małym stopniu polega się na lukach zero-day. Kiedy luki w oprogramowaniu są wykorzystywane w ramach ataku, zwykle dzieje się to za pośrednictwem dobrze znanych luk, dla których dostępne są już poprawki, ale nie zostały jeszcze zastosowane przez cel. Przykładem tego był exploit EternalBlue w wewnętrznej propagacji WannaCry w 2017 r. — Microsoft wydał łatkę w marcu, podczas gdy epidemia WannaCry na dużą skalę miała miejsce w maju.

Trwająca już od kilku lat globalna migracja danych i aplikacji do chmury została wzmocniona przez pandemię. A ponieważ prawie każdy element wartościowych danych jest przenoszony do chmury, albo do aplikacji SaaS, albo do stosów chmury publicznej, osoby atakujące bez wątpienia pójdą do chmury, gdy liczba wartościowych zasobów lokalnych będzie coraz mniejsza.

Dzięki atakom na łańcuchy dostaw szczegółowe informacje o tym, jak działają chmury i jak je atakować, stają się powszechne. Kiedy więc „pieniądze” przeniosą się do chmury, możliwość ataku nie będzie ograniczona tylko do grup sponsorowanych przez państwa.


Potencjalne wektory ataku

W przypadku większości ataków pojawia się pytanie, jaki będzie wektor ataku i jak ten początkowy przyczółek zostanie rozszerzony, aby uzyskać dostęp do cennych danych.

Widzieliśmy już wiele punktów wejścia dla ataków z wykorzystaniem chmury:

  • Przejęcie konta — przejęcie punktu końcowego należącego do organizacji poprzez nakłanianie użytkowników do podania danych uwierzytelniających konta w pozornie legalnych wymianach, najczęściej poprzez phishing. 
  • Przejęcie systemu tożsamości — np. kradzież klucza podpisującego SAML organizacji umożliwia atakującemu uwierzytelnienie jako dowolne konto w systemie.
  • Rozległa strefa DMZ – zasoby w chmurze publicznej, które są niezałatane lub niezabezpieczone i są dostępne z Internetu bez wiedzy zespołu bezpieczeństwa organizacji.
  • Przemieszczanie boczne (ang. Lateral movement) – w chmurze prawie zawsze wiąże się z kradzieżą lub podszywaniem się za pomocą danych uwierzytelniających pod interfejsy API. Systemy chmurowe są wyposażone w niezwykle wydajne interfejsy API — szczególnie w przypadku poświadczeń uprzywilejowanych — które umożliwiają atakującym szybkie osiągnięcie ostatecznego celu.

Kilka porad

Są rzeczy, które organizacje mogą już zrobić, aby przygotować się na takie ataki:

  • Upewnij się, że trzymasz klucz SAML (który dla usług chmurowych jest najważniejszym kluczem) pod ścisłą kontrolą i monitoruj wszelki dostęp do systemu, który używa tego klucza.
  • Przejrzyj zasady uwierzytelniania wieloskładnikowego (MFA) — każde konto użytkownika w organizacji powinno mieć wymuszone korzystanie z drugiego składnika.
  • Przejrzyj uprawnienia przyznane Twoim tożsamościom dostępnym w chmurze i przećwicz zasady dotyczące najmniejszych uprawnień.
  • Uważnie monitoruj tworzenie nowych kont uprzywilejowanych, a także korzystanie z kont uprzywilejowanych.
  • Przenieś znaczną część swoich testów penetracyjnych i wysiłków związanych z red teaming do chmury publicznej i aplikacji SaaS — dowiedz się, jak trudnym celem jesteś naprawdę.

I oczywiście zapewnij ścisłą kontrolę danych, na których najbardziej Ci zależy, i przećwicz przywracanie danych z izolowanych kopii zapasowych.


Artykuł bazuje na wypowiedzi Oliviera Tavakoli, CTO w Vectra AI.

Podziel się z innymi tym artykułem!