Forscher von Unit 42 haben eine komplexe, groß angelegte Cyberkampagne entdeckt, bei der mehrere Organisationen, die Cloud-Systeme nutzen, manipuliert und erpresst wurden.

Bei diesem massiven Cyberangriff, der sich gegen über 230 Millionen einzigartige Cloud-Umgebungen auf Amazon Web Services (AWS) richtete, nutzten die Angreifer eine clevere Taktik: Sie machten sich exponierte Umgebungsvariablen-Dateien (.env) auf Cloud-Infrastrukturen zunutze.

Diese .env-Dateien, die häufig in Sicherheitsmaßnahmen übersehen werden, enthalten vertrauliche Daten wie Zugangscodes zu verschiedenen Programmen und Diensten. Dies ermöglichte es den Hackern, unbefugten Zugriff auf die Systeme der Opfer zu erlangen und sich weiter in die Netzwerke einzuschleichen.

Technische Analyse

Die Angreifer setzten automatisierte Tools ein, um Millionen von Domains zu überprüfen und in exponierte .env-Dateien einzudringen, die kritische Informationen enthielten.

Sobald sie Zugang erlangt hatten, führten sie umfangreiche Erkundungen der kompromittierten Umgebungen durch, indem sie AWS-API-Aufrufe wie GetCallerIdentityListUsers und ListBuckets nutzten.

Anschließend erhöhten sie ihre Privilegien, indem sie neue IAM-Rollen mit vollständigen Administratorrechten erstellten, was zeigt, dass sie ein tiefes Verständnis für die AWS-IAM-Elemente hatten.

Daraufhin setzten sie bösartig programmierte Lambda-Funktionen ein, um rekursive Scans nach weiteren .env-Dateien über mehrere AWS-Regionen hinweg durchzuführen, wobei sie sich besonders auf Mailgun-Anmeldeinformationen konzentrierten, die für groß angelegte Phishing-Kampagnen nützlich waren.

Das enorme Ausmaß der Kampagne zeigte sich darin, dass die Angreifer Zugang zu .env-Dateien auf über 110.000 Domains erlangten und eine Zielliste mit über 230 Millionen einzigartigen Endpunkten hatten.

Der Angriff endete mit der Exfiltration von Daten in von den Angreifern kontrollierte S3-Buckets.

Solch ausgeklügelte Angriffstaktiken verdeutlichen die Bedeutung robuster IAM-Richtlinien, der ständigen Überwachung von Cloud-Aktivitäten und der sorgfältigen Sicherung von Konfigurationsdateien, um unbefugten Zugriff und Risiken wie Datenverlust oder -lecks in Cloud-Umgebungen zu vermeiden.

„Nachdem die Angreifer ihre Entdeckungsoperationen abgeschlossen hatten, stellten sie fest, dass die ursprünglichen IAM-Anmeldedaten, die für den Erstzugang zur Cloud-Umgebung verwendet wurden, keinen Administratorzugriff auf alle Cloud-Ressourcen hatten. Wir stellten fest, dass die Angreifer herausfanden, dass die ursprüngliche IAM-Rolle, die für den Erstzugang verwendet wurde, die Berechtigungen hatte, sowohl neue IAM-Rollen zu erstellen als auch IAM-Richtlinien an bestehende Rollen anzuhängen.“ – Palo Alto Forschung.

Diese cloudbasierte Erpressungskampagne offenbarte raffinierte Taktiken in der Datenexfiltration und der operativen Sicherheit.

Die Angreifer nutzten den S3 Browser, um bestimmte API-Aufrufe durchzuführen, die ihre Operationen verdeckten, indem sie die Objektprotokollierung umgingen.

Es ist wichtig zu beachten, dass Exfiltration durch Kosten- und Nutzungsberichte erkannt werden konnte, die Spitzen bei GetObject- und DeleteObject-Operationen anzeigen würden.

Nachdem die Angreifer die Daten exfiltriert und gelöscht hatten, luden sie Erpresserbriefe in die geleerten S3-Buckets hoch, in denen sie eine Zahlung forderten, um eine Datenweitergabe zu verhindern und möglicherweise die gelöschten Informationen wiederherzustellen.

Diese Briefe stellten die letzte Ebene der Cyber-Erpressung dar, die manchmal sogar an die Aktionäre der betroffenen Unternehmen per E-Mail verschickt wurden.

Die Kampagne beschränkte sich nicht nur auf Cloud-Dienste, sondern kompromittierte auch Anmeldedaten für soziale Medien und enthüllte verschiedene Infrastrukturdaten.

Ein taktischer Fehler der Angreifer war die Nutzung von sowohl Tor-Knoten als auch VPN-Clients, die möglicherweise Standorte in der Ukraine und Marokko preisgeben könnten.

Organisationen wird dringend geraten, angemessene Sicherheitsmaßnahmen zu implementieren, wie das Deaktivieren ungenutzter AWS-Regionen, robuste Protokolle mit einer Aufbewahrungsfrist von 90 Tagen sowie den Einsatz von Amazon GuardDuty.

Zusätzlich sollten Unternehmen das Prinzip der minimalen Rechtevergabe und temporäre Anmeldeinformationen bevorzugen und benutzerdefinierte Warnsysteme entwickeln, die ihrem Nutzungsverhalten in AWS entsprechen.

Ein mehrschichtiges Verteidigungssystem, das diese Strategien in Verbindung mit kontinuierlicher Überwachung und regelmäßigen Sicherheitsüberprüfungen integriert, ist von entscheidender Bedeutung, um Schwachstellen durch solche fortschrittlichen Angriffskampagnen zu minimieren.