Ataque &#39Cloud Snooper&#39 evita el firewall de AWS …



El posible ataque a la cadena de suministro de la nación-estado que engañó a los cortafuegos en la nube y en las instalaciones actúa como un «lobo con piel de cordero», dice Sophos.

(ACTUALIZADO 2/27 con nueva información de Sophos de que el ataque realmente golpeó los servidores de seguridad y servidores en las instalaciones de la organización víctima. Este artículo originalmente informó sobre la investigación inicial de Sophos, que había concluido que el malware tenía la capacidad de violar- firewalls del sitio).

CONFERENCIA RSA 2020 – San Francisco – Un ataque dirigido recientemente detectado empleó un rootkit para infiltrar el tráfico malicioso a través de los firewalls locales y AWS de la organización víctima y soltar un troyano de acceso remoto (RAT) en sus servidores basados ​​en la nube.

Los investigadores de Sophos descubrieron el ataque mientras inspeccionaban los servidores de infraestructura de nube basados ​​en Linux y Home windows EC2 infectados que se ejecutan en Amazon World wide web Expert services (AWS). El ataque, que según Sophos es probablemente la obra de un estado-nación, utiliza un rootkit que no solo les dio a los atacantes el command remoto de los servidores, sino que también proporcionó un conducto para que el malware se comunique con sus servidores de comando y handle. Según Sophos, el rootkit también permitió que los servidores C2 controlaran de forma remota los servidores ubicados físicamente en la organización.

«La política de firewall no fue negligente, pero podría haber sido mejor», dijo Chet Wisniewski, investigador principal de Sophos. Los atacantes enmascararon su actividad ocultándola en el tráfico HTTP y HTTPS. «El malware era tan sofisticado que sería difícil de detectar incluso con una política de seguridad estricta» en el firewall de AWS, dijo. «Period un lobo con piel de oveja … que se mezclaba con el tráfico existente».

Sophos se negó a revelar la organización de la víctima, pero dijo que el ataque parece ser una campaña para alcanzar objetivos finales a través de la cadena de suministro, con esta como solo una de las víctimas. No está claro quién está detrás del ataque, pero el RAT se basa en el código fuente del Gh0st RAT, una herramienta asociada con los atacantes chinos del estado nación. Sophos también encontró algunos mensajes de depuración en chino.

Los atacantes parecen reutilizar la misma RAT para los servidores Linux y Windows. «Solo observamos que Linux RAT hablaba con un servidor y Windows hablaba con un servidor de manage diferente, por lo que no estamos seguros de si se trata de la misma infraestructura», dijo Wisniewski. El C2 ha sido derribado, señaló.

No está claro cómo los atacantes inicialmente piratearon la purple de la víctima, pero Sophos sugiere que una posibilidad es que los atacantes se infiltraron en un servidor a través de SSH. Tampoco tienen mucha información sobre el rootkit, como qué puerto abusó, ni saben con certeza qué buscaban. «Es probable que sea un ataque a la cadena de suministro, dirigido a esta organización para obtener todos sus clientes», dijo Wisniewski.

Uno de los aspectos raros del ataque: apuntó a Linux con un rootkit, que se llamaba Snoopy. «Dejaron caer la parte del controlador del rootkit y lo llamaron Snoopy. Si se hubiera llamado un nombre de archivo legítimo en la caja de Linux, probablemente no lo habríamos notado», dijo Wisniewski. Y el malware para Linux hasta la fecha también ha sido relativamente raro, principalmente con cryptojackers, agregó.

Las técnicas de Cloud Snooper por ahora parecen ser raras, pero como muchos ataques únicos como este, es solo cuestión de tiempo antes de que sean imitados. «Cada vez que vemos algo hecho en un ataque dirigido, generalmente por un estado-nación, un par de años después, los cibercriminales (adoptan tácticas similares)», dijo Wisniewski.

«Este caso es extremadamente interesante ya que demuestra la verdadera naturaleza multiplataforma de un ataque moderno», escribió el investigador de Sophos Sergei Shevchenko en la compañía reporte técnico en Cloud Snooper.

Sophos recomienda implementar la función de firewall límite de AWS, mantener los servidores con conexión a Net completamente parcheados y fortalecer los servidores SSH para protegerlos contra Cloud Snooper.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dim Examining para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Cómo prevenir una fuga de datos de AWS Cloud Bucket».

Kelly Jackson Higgins es la Editora Ejecutiva de Darkish Looking at. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Community Computing, Safe Business … Ver biografía completa

Más thoughts





Enlace a la noticia initial