Исследователи Palo Alto Unit 42 проанализировали работу облачных сервисов и пришли к выводу, что они предоставляют чрезмерные разрешения. По словам экспертов, неправильно настроенное управление идентификацией и доступом (IAM) повышает риски компрометации облачной инфраструктуры и учетных данных.
Всего было проанализировано более 680 тысяч удостоверений в 18 тысячах облачных учетных записей и более чем 200 различных организаций. Выяснилось, что 99% облачных пользователей, ролей, сервисов и ресурсов предоставили «чрезмерные разрешения», которые не использовались в течение 60 дней. Такие разрешения хакеры потенциально могут использовать для перемещения по сети жертвы и расширения радиуса атаки.
Кроме того, неиспользуемых или избыточных разрешений во встроенных политиках безопасности контента (CSP) было в два раза больше, чем в политиках, созданных клиентами. По словам экспертов, удаление этих разрешений может значительно снизить риск.
В Palo Alto Unit 42 выяснили, что неправильные настройки являются причиной 65% обнаруженных киберинцидентов в облаке, в то время как 53% проанализированных облачных учетных записей использовали ненадежный пароль, а 44% — повторно использовали пароли. Также оказалось, что 62% организаций имеют общедоступные облачные ресурсы.
Команда обнаружила и идентифицировала пять киберпреступных группировок, которые применяют уникальные методы для непосредственного нападения на платформы облачных сервисов.
Среди них:
TeamTNT — использует перемещение внутри кластеров Kubernetes, создание ботнетов IRC и захват скомпрометированных ресурсов облачной рабочей нагрузки для майнинга криптовалюты Monero;
WatchDog — создает скрипты на языке Go, а также перепрофилированные скрипты криптоджекинга от других группировок (включая TeamTNT), нацеленные на открытые облачные экземпляры и приложения;
Kinsing — собирает облачные учетные данные, открытые API-интерфейсы Docker Daemon с использованием вредоносов на основе GoLang в контейнерах Ubuntu;
Rocke — проводит операции с программами-вымогателями и криптоджекингом в облачных средах, что использует вычислительную мощность скомпрометированных систем на базе Linux, обычно размещенных в облачной инфраструктуре;
8220 — использует инструменты PwnRig или DBUsed, которые представляют собой варианты программного обеспечения для майнинга XMRig Monero. Считается, что группировка возникла из форка GitHub программного обеспечения группировки Rocke.
Более раннее исследование компании «Ростелеком-Солар» показало, что 75% уязвимостей в IT-инфраструктуре российских компаний можно закрыть с помощью патчей, но это зачастую не делается оперативно. Эксперты выяснили, что в инфраструктуре российских организаций встречаются уязвимости, патчи для которых вышли несколько лет назад, но так и не были развернуты системными администраторами.
