Revista >> Iulie 2018 [Nr. 206] >> IT&C

Cloud-ul, un Eldorado pentru cybercrime

Bogdan Marchidanu

26 Iulie 2018

O lege universal valabilă spune că tăria unui lanţ este dată de tăria celei mai slabe verigi din lanţ. Această lege îşi găseşte una din cele mai plastice expresii actualmente în noile ţinte alese de infractorii cibernetici pentru obţinerea ilicită de fonduri: mediile cloud. Iar atacurile asupra acestor medii încep să semene tot mai des cu atacurile asupra unui vehicol blindat prin intermediul valvelor de la roţile vehiculului – veriga cea mai vulnerabilă.

Concret, conform celui mai recent raport emis de Check Point, una din firmele majore de soluţii de securitate IT la nivel global, atacurile de tip cryptomining, sau minare de criptomonede, au atins niveluri absolut incredibile în ultimele şase luni. Astfel de atacuri domină de departe topul atacurilor cibernetice şi al familiilor malware descoperite. Depăşind deja atacurile de tip ransomware, cele de tip minare criptomonede au afectat deja peste 42% din organizaţii la nivel mondial, ceea ce înseamnă mai mult decât o dublare faţă de nivelul de 20,5% de la finele lui 2017. Ca volume, se estimează că atacurile de tip cryptomining au „adus“ atacatorilor deja peste 2,5 miliarde USD, iar cifra are toate şansele să crească exponenţial în viitor.

De la crearea lor, atacurile de tip cryptomining au ajuns departe. Evoluând de la simpla compromitere de site-uri web, astfel de atacuri au fost observate în acest an răspândindu-se prin intermediul unor aplicaţii precum Facebook Messenger, YouTube şi Google Play, astfel infectând mii de site-uri web, computere personale şi servere. Iar în 2018 atacatorii s-au modernizat şi şi-au îmbunătăţit abilităţile, devenind tot mai sofisticaţi şi destructivi.

Motivaţi de interesul clar de a creşte procentajul resurselor de procesare infestate şi remodelate pentru a deveni tot mai profitabile, „cripto-minerii“ din zilele noastre ţintesc orice poate fi perceput drept o oportunitate de fructificat. Pe cale de consecinţă, astfel de atacatori au fost observaţi atacând baze de date SQL, sisteme industriale, o uzină nucleară rusească şi chiar infrastructuri cloud. De dată recentă, aceşti atacatori au evoluat în sensul exploatării vulnerabilităţilor şi al evitării capcanelor şi produselor de securitate existente pentru a-şi creşte ratele de infectare.

Nici zona de mobilitate nu a fost scutită de astfel de atacuri. Nu mai departe de luna aprilie, un astfel de atacator, poreclit HiddenMiner, a ţintit numeroase dispozitive mobile, minând continuu după criptomoneda Monero, până la epuizarea resurselor acelor dispozitive. Minerii mobili au reuşit chiar să treacă de zidul de protecţie Apple şi să pătrundă în App Store cu un malware, încercând să fure datele de conectare ale victimelor pentru portofelele de criptomonede.

Diversificarea metodelor de atac
Turnând gaz peste foc, de la începutul lui 2018 au apărut diverse metode noi de atac, fructificând potenţialul existent în sistemele de tranzacţie criptomonede. Printre altele, aceste metode includ furturile din portofele virtuale şi de date personale, manipularea tranzacţiilor cu criptomonede, precum şi mai noile farse ICO (Initial Coin Offering – Oferta iniţială de monedă) prin care victimele sunt atrase să investească în criptomonede false aflate la început.

Mai mult, alte familii de malware au început să integreze capabilităţi de mining în arsenalul de atac. Atacurile ransomware, ca şi principalii troieni bancari, incluzând Panda şi TrickBot, ţintesc nu doar conturi bancare ci şi portofele de criptomonede şi conturi din sistemele de tranzacţionare, adăugând noi caracteristici modalităţilor de atac.

Ținta principală pentru jafurile digitale
Cireaşa de pe tort în acest peisaj... interesant este dată de mediul cloud. Acest mediu a schimbat modul în care firmele îşi gestionează, stochează şi diseminează datele, aplicaţiile şi fluxurile de lucru. Însă pe lângă gama imensă de beneficii, infrastructura cloud introduce şi un nou mediu fertil şi atrăgător pentru atacatori, care jinduiesc la imensele volume de resurse de procesare şi date sensibile conţinute în astfel de medii.
Iar conform raportului Check Point, anul 2018 a adus cu el diverse tehnici şi instrumente sofisticate de exploatare în scop malefic a serviciilor de stocare date în cloud. Anul trecut, 51% din organizaţiile globale au avut parte de atacuri bazate pe cloud, aşa cum au fost celebrele atacuri înregistrate de giganţi precum FedEx, Intel şi Honda, aşa că cifrele pe acest an au toate şansele să fie devastatoare.

Unele atacuri bazate pe medii cloud, în special cele care au vizat extrageri de date şi obţinerea de informaţii sensibile, au derivat din practici slabe de securitate. Date de conectare lăsate disponibile în arhive publice de cod sursă sau folosirea de parole slabe sunt doar câteva exemple ale modurilor prin care atacatorii au obţinut acces şi control asupra resurselor neprotejate găzduite în cloud.

Însă ameninţarea în creştere explozivă la adresa mediilor cloud ese legată tot de... mineritul după criptomonede. Atacurile ţintesc infrastructura cloud în scop de exploatare a vastelor resurse de procesare existente şi, pe cale de consecinţă, de generare a unor profituri imense pentru cei implicaţi. Conform Check Point, în prima jumătate a anului 2018 s-au putut vedea multe atacuri care au ţintit două din componentele cheie ale mediilor cloud – sistemele Docker şi Kubernetes. Astfel au putut fi infectate, de exemplu, serverele cloud interne ale firmei Tesla cu un malware de cryptomining Monero cu câteva luni în urmă.

De asemenea, interfeţele de programare aplicaţii (API), utilizate la gestionarea, interacţiunea şi extragerea de informaţii utile din serviciile cloud, au fost şi ele ţinte pentru atacatori. Faptul că aceste interfeţe cloud sunt accesibile prin Internet (valva roţii de la maşina blindată...) a deschis o fereastră imensă de oportunitate pentru atacatori în scopul obţinerii de acces solid la aplicaţii cloud.