Hacker utilizzano tool legali per attaccare i cloud
Buongiorno cari lettori, oggi parleremo di un gruppo di hacker che utilizza tool legali per colpire dati dai cloud.
Se da un lato il Cloud offre alle organizzazioni un'ottima possibilità di ospitare i loro servizi web online, dall'altro presenta anche una buona dose di svantaggi.
Negli ultimi tempi, è stato scoperto dai ricercatori della società di sicurezza informatica Intezer che un gruppo malintenzionato di nome TeamTNT sta usando uno strumento di terze parti chiamato Weave Scope per attaccare 4 piattaforme basate sul cloud, ovvero Docker, Kubernetes, Distributed Cloud Operating System(DCOS), e AWS Elastic Compute Cloud (ECS).
Per capire come lo fanno, è necessario sapere che Weave Scope permette agli utenti di visualizzare le loro applicazioni cloud, compresi host, servizi, processi e molto altro ancora in tempo reale.
Inoltre, permette di controllarli anche con l'aiuto di una riga di comando. Pertanto, per accedere alle risorse basate sul cloud dell'utente, gli aggressori installano semplicemente questo strumento facendo in modo che faccia tutto per loro automaticamente.
Descrivendo il processo di installazione, i ricercatori affermano nel loro post sul blog che,
Per installare Weave Scope sul server gli aggressori utilizzano una porta API Docker esposta e creano un nuovo contenitore privilegiato con un'immagine pulita di Ubuntu. Il container è configurato per montare il file system del container sul filesystem del server vittima, ottenendo così l'accesso degli aggressori a tutti i file sul server. Il comando iniziale dato al container è quello di scaricare ed eseguire diversi crittominatori.
Gli aggressori tentano quindi di ottenere l'accesso root al server impostando un utente locale privilegiato denominato "hilde" sul server host e lo utilizzano per collegarsi di nuovo via SSH.Una volta fatto questo, il tool viene semplicemente scaricato e installato con l'aiuto di alcuni comandi che aprono l'accesso al suo backend per gli aggressori attraverso la porta 4040 utilizzando HTTP.
Il motivo dell'attacco sembra essere incentrato sul fatto di guadagnare denaro tramite le valute criptate. Ciò è evidente dal fatto che il primo comando che viene eseguito dopo l'accesso degli aggressori è quello di installare dei crypto-miner coerenti con la sua storia di cyberattacks.
Per concludere, per essere sicuri, gli utenti dovrebbero non solo assicurarsi che le porte non utilizzate siano chiuse, ma anche "bloccare le connessioni in entrata alla porta 4040" in quanto viene utilizzata per ottenere l'accesso al Weave Scope.
Inoltre, è meglio assumere dei professionisti per proteggere la vostra infrastruttura basata sul cloud, poiché un semplice errore può costare la vostra sicurezza.
spero che questo articolo vi sia piaciuto, noi ci vediamo ad un prossimo articolo.
