Casi todas las organizaciones han adoptado servicios en la nube dentro de sus negocios. Sin embargo, con esta adopción de la nube surge la necesidad de garantizar que la estrategia de seguridad de una organización sea capaz de protegerla contra las nuevas amenazas de seguridad en cloud.
Hay que mantenerse actualizado en cuanto a seguridad en la nube, ya que cada día surgen nuevos y más peligrosos ataques a la ciberseguridad que pueden dejar vulnerable tu información y datos confidenciales. Tal es el caso que Sysdig descubrió: «Scarleteel».
Esta operación de piratería avanzada denominada «Scarleteel» tenía como objetivo las aplicaciones web públicas que se ejecutaban en contenedores, para infiltrarse en los servicios en la nube y robar datos confidenciales.
Si bien los atacantes implementaron criptomineros en los entornos de nube comprometidos, los piratas informáticos demostraron una experiencia avanzada en la mecánica de la nube de AWS, que utilizaron para profundizar en la infraestructura de la nube de la empresa.
El ataque «Scarleteel» comenzó cuando los piratas informáticos explotaron un servicio público vulnerable en un clúster de Kubernetes autogestionado, alojado en Amazon Web Services (AWS).
Una vez que los atacantes acceden al contenedor, descargan un coinminer XMRig, que se cree que sirve como señuelo, y un script para extraer las credenciales de la cuenta del pod de Kubernetes.
Luego, las credenciales robadas se utilizaron para realizar llamadas a la API de AWS para ganar persistencia mediante el robo de más credenciales o la creación de usuarios y grupos de puerta trasera en el entorno de nube de la empresa. Estas cuentas luego se usaron para expandirse aún más a través del entorno de la nube.
A continuación, el atacante utiliza las funciones de Lambda para enumerar y recuperar todo el código y el software de propiedad junto con sus claves de ejecución y las variables de entorno de la función de Lambda para encontrar las credenciales de usuario de IAM y aprovecharlas para rondas de enumeración posteriores y escalada de privilegios.
La enumeración de depósitos de S3 también se produce en esa etapa, y es probable que los archivos almacenados en depósitos en la nube contengan datos valiosos para los atacantes, como las credenciales de la cuenta.
Durante este ataque en particular, el atacante pudo recuperar y leer más de 1 TB de información, incluidos scripts de clientes, herramientas de solución de problemas y archivos de registro.
Para minimizar los rastros dejados, el atacante intentó deshabilitar los registros de CloudTrail en la cuenta de AWS comprometida, lo que tuvo un impacto negativo en la investigación de Sysdig.
Sin embargo, era evidente que el atacante recuperó archivos de estado de Terraform de los depósitos S3 que contenían claves de acceso de usuario de IAM y una clave secreta para una segunda cuenta de AWS.
Esta cuenta finalmente se usó para el movimiento lateral dentro de la red en la nube de la organización.
A medida que la empresa depende cada vez más de los servicios en la nube para alojar su infraestructura y sus datos, los piratas informáticos la siguen y se convierten en expertos en API y consolas de administración para continuar con sus ataques.
El ataque «Scarleteel» demuestra que un solo punto vulnerable en el entorno de la nube de una organización podría ser suficiente para que los actores de amenazas persistentes y bien informados lo aprovechen para infiltrarse en la red y robar datos confidenciales.
Se sugiere que las empresas tomen las siguientes medidas de seguridad para proteger su infraestructura en la nube de ataques similares:
También se recomienda implementar un sistema integral de detección y alerta para garantizar que las actividades maliciosas de los atacantes se informen rápidamente, incluso cuando evaden las medidas de protección.