Serveur d'impression

L'attaque 'Cloud Snooper' contourne le pare-feu AWS … – Serveur d’impression

Le 31 mars 2020 - 6 minutes de lecture

Une éventuelle attaque de la chaîne d'approvisionnement de l'État-nation qui a trompé à la fois les pare-feu cloud et sur site se comporte comme un "loup déguisé en mouton", explique Sophos.

[UPDATED 2/27 with new information from Sophos that the attack actually hit on-premise firewalls and servers in the victim organization. This article originally reported on the initial research by Sophos, which had concluded that the malware had the ability to breach on-site firewalls.]

CONFÉRENCE RSA 2020 – San Francisco – Une attaque ciblée récemment repérée a utilisé un rootkit pour falsifier le trafic malveillant via les AWS et les pare-feu sur site de l'organisation victime et déposer un cheval de Troie d'accès à distance (RAT) sur ses serveurs basés sur le cloud.

Des chercheurs de Sophos ont découvert l'attaque en inspectant les serveurs d'infrastructure cloud Linux et Windows EC2 infectés exécutés dans Amazon Web Services (AWS). L'attaque, qui, selon Sophos, est probablement l'œuvre d'un État-nation, utilise un rootkit qui a non seulement donné aux attaquants le contrôle à distance des serveurs mais a également fourni un conduit pour que le malware communique avec leurs serveurs de commande et de contrôle. Selon Sophos, le rootkit a également permis aux serveurs C2 de contrôler à distance les serveurs physiquement situés dans l'organisation également.

"La politique de pare-feu n'a pas été négligente, mais elle aurait pu être meilleure", a déclaré Chet Wisniewski, chercheur principal chez Sophos. Les attaquants ont masqué leur activité en la cachant dans le trafic HTTP et HTTPS. "Le malware était suffisamment sophistiqué pour être difficile à détecter même avec une politique de sécurité stricte" dans le pare-feu AWS, a-t-il déclaré. "C'était un loup déguisé en mouton … se fondant dans le trafic existant."

Sophos a refusé de révéler l'organisation des victimes, mais a déclaré que l'attaque semble être une campagne visant à atteindre des cibles ultimes via la chaîne d'approvisionnement – avec cela comme l'une des seules victimes. On ne sait pas exactement qui est derrière l'attaque, mais le RAT est basé sur le code source du Gh0st RAT, un outil associé aux attaquants des États-nations chinois. Sophos a également trouvé des messages de débogage en chinois.

Les attaquants semblent réutiliser le même RAT pour les serveurs Linux et Windows. "Nous n'avons observé que le RAT Linux parlant à un serveur et Windows parlant à un serveur de contrôle différent, donc nous ne sommes pas sûrs qu'il s'agisse de la même infrastructure", a déclaré Wisniewski. Le C2 a été retiré, a-t-il noté.

La façon dont les attaquants ont initialement piraté le réseau de la victime n'est pas claire, mais Sophos suggère que les attaquants ont infiltré un serveur via SSH. Ils n'ont pas non plus beaucoup d'informations sur le rootkit, comme le port utilisé, ni ne savent avec certitude ce qu'ils recherchaient. "Il s'agit probablement d'une attaque de la chaîne d'approvisionnement, visant cette organisation à obtenir tous ses clients en aval", a déclaré Wisniewski.

L'un des rares aspects de l'attaque: il visait Linux avec un rootkit, qui s'appelait Snoopy. "Ils ont abandonné la partie pilote du rootkit et l'ont appelé Snoopy. S'il avait été appelé un nom de fichier légitime sur la boîte Linux, nous ne l'aurions probablement pas remarqué", a déclaré Wisniewski. Et les logiciels malveillants pour Linux à ce jour sont également relativement rares, principalement avec des cryptojackers, a-t-il ajouté.

Les techniques de Cloud Snooper semblent pour l'instant rares, mais comme de nombreuses attaques uniques comme celle-ci, ce n'est qu'une question de temps avant qu'elles ne soient imitées. "Chaque fois que nous voyons quelque chose se faire dans une attaque ciblée, généralement par un État-nation, quelques années plus tard, les cybercriminels [adopt similar tactics]", A déclaré Wisniewski.

"Ce cas est extrêmement intéressant car il démontre la véritable nature multiplateforme d'une attaque moderne", a écrit le chercheur de Sophos Sergei Shevchenko dans le rapport technique de la société sur Cloud Snooper.

Sophos recommande de déployer la fonction de pare-feu périphérique d'AWS, de conserver les serveurs Internet entièrement corrigés et de renforcer les serveurs SSH pour les protéger contre Cloud Snooper.

Contenu connexe:

Consultez The Edge, la nouvelle section de Dark Reading pour les fonctionnalités, les données sur les menaces et les perspectives détaillées. Top story du jour: "Comment prévenir une fuite de données AWS Cloud Bucket Data."

Kelly Jackson Higgins est la rédactrice en chef de Dark Reading. Elle est une journaliste vétéran spécialisée dans les technologies et les affaires avec plus de deux décennies d'expérience dans la rédaction de rapports et l'édition pour diverses publications, y compris Network Computing, Secure Enterprise … Voir la biographie complète

Plus d'informations

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.