Les infrastructures de cloud computing public attirent les mineurs de crypto comme les abeilles les ruches.

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email
Partager sur print
Partager sur whatsapp
En discutant avec un grand nombre de nos clients, prospects et partenaires qui ont mis en place des stratégies de cloud computing, un modèle commun se dessine. La majorité d'entre eux sont confrontés à un problème de compromission d'une clé d'accès IAM, ce qui entraîne une utilisation abusive de leur infrastructure cloud pour des activités de crypto mining. C'est effrayant, étant donné que vous finissez par payer des coûts de cloud exponentiels pour la période jusqu'à ce que la violation soit détectée.

Qu'est-ce que le Crypto Mining ? Pourquoi est-ce une menace ?

"Le minage de crypto-monnaies (crypto mining) utilise la puissance de traitement des ordinateurs pour résoudre des problèmes mathématiques complexes et vérifier les transactions numériques, et les mineurs sont récompensés par une petite quantité de cyber-monnaie."

Source : : cyber.gov.au

Cryptomining illégal = Cryptojacking

Le cryptojacking est un crime et aussi un moyen direct pour les pirates de gagner de l'argent dans le nuage public ; car tout ce qu'ils ont à faire est de trouver un moyen de pénétrer dans le nuage d'un client, de faire tourner un grand nombre de serveurs riches en CPU de haute capacité pour le minage, et de continuer à gagner de l'argent jusqu'à ce que le client infortuné détecte la violation (le plus souvent après avoir reçu une facture alarmante du fournisseur de nuage).

De nombreuses enquêtes récentes soulignent que 99% des erreurs de configuration dans le nuage passent inaperçues.

Ces erreurs de configuration courantes sont aussi... pourquoi le nuage public est une mine d'or pour les mineurs de crypto-monnaie. En utilisant ces erreurs de configuration, les mineurs ont... CPU illimité et la puissance de calcul dont ils disposent.

Anatomie d'une violation des données d'identification dans le nuage

Nous avons récemment interviewé un client qui a subi une violation de la clé de compte de service dans Google Cloud, ce qui a entraîné des activités d'extraction de crypto-monnaies.

Nous allons décomposer cet incident en plusieurs étapes afin de mieux comprendre comment les attaquants peuvent exploiter les informations d'identification divulguées et, surtout, comment les organisations peuvent être mieux préparées à faire face à ce scénario (lorsqu'il se produit).

L'incident

Fournisseur de services en nuage

  Un employé a accidentellement enregistré un nom d'utilisateur/clé de compte de service GCP dans son GIT Repo personnel.

Peu de temps après, ils ont reçu un courriel de Google indiquant qu'une compromission de compte de service avait été détectée. L'e-mail donnait les détails suivants ( un service salvateur, il faut le dire - car il réduit considérablement le temps de détection).

L'e-mail mettait clairement en évidence le compte de service en question et l'URL du repo Github public. Il recommandait également deux étapes, dont la mise hors service du compte de service, ce qui est indispensable.

Mais SOUVENEZ-VOUS, Tout comme les gentils (fournisseurs de services en nuage), les méchants scrutent en permanence les dépôts GIT pour détecter toute modification de code qui expose une clé d'accès IAM. Dès que vous faites une erreur, soyez assuré que quelqu'un l'exploitera en quelques secondes.

Enquête

Le client a contacté l'employé en question et le Repo GITHub personnel a été mis en quarantaine. Une enquête plus poussée sur le Git Repo n'a révélé aucun indicateur de compromission (IOC) immédiat. Heureusement, l'un des administrateurs du cloud a commencé à examiner les projets GCP auxquels le compte de service avait accès. Et voilà, ce projet comportait de nombreux serveurs de grande capacité lancés dans chaque région.

  Si elles n'avaient pas été contrôlées, ces machines virtuelles auraient pu entraîner des dizaines de milliers de dollars de coûts liés au cloud computing.

C'est la cible des mineurs; la probabilité que la plupart des organisations ne disposent pas des moyens ou des mécanismes nécessaires pour détecter et réagir à ces intrusions.

C'est de l'argent laissé sur la table.

Si cela m'arrive ou arrive à mon organisation, que devons-nous faire ?

Tous les fournisseurs de services en nuage recommandent deux mesures immédiates que les organisations devraient prendre à la suite d'un tel incident (voir l'image ci-dessus).
Voici les deux étapes
Étape 1
L'étape #1 est une mesure de sécurité pour minimiser les dommages supplémentaires à votre infrastructure en nuage. La révocation de toutes les informations d'identification empêche le pirate ou le robot de faire tourner des ressources non autorisées ou d'infliger d'autres dommages.
L'étape #2 est DIFFICILE - Pourquoi, demandez-vous ?

Les facteurs sont multiples. La dynamicité du cloud public rend très difficile la mise en place d'un environnement de base et renforcé.

Il existe plusieurs régions associées à chaque fournisseur de cloud. Un compte de service fuité peut avoir des autorisations pour créer des infrastructures/ressources dans TOUTES ces régions. Dans la console web d'un fournisseur de cloud computing, il y a toujours une vue régionale de vos ressources. Par conséquent, vous devez passer d'une région à l'autre pour identifier si de nouvelles ressources de calcul ou des ressources facturables sont créées dans une région.

Et si ce compte de service compromis avait des autorisations inter-comptes ? Un scénario cauchemardesque si vous faites partie de l'équipe d'administration du cloud. Ce n'est pas facile lorsque vous avez des centaines ou des milliers de comptes/projets.

Comment trier et contenir les risques ?

Tout d'abord, assurez-vous de REVOQUER toutes les informations d'identification (ou la liste) pour le compte de service compromis.

Ensuite, au lieu de paniquer, utilisez les journaux IAM des fournisseurs de services cloud pour comprendre les activités réalisées par le compte de service compromis.

Si vous utilisez GCP (comme dans cet exemple), vérifiez les journaux d'audit IAM de Stackdriver. Filtrez par le compte de service en question et recherchez toutes les activités récentes. La liste filtrée suivante montrera les instances EC2 nouvellement lancées (le cas échéant) ou d'autres activités de création/suppression/modification de ressources par ce compte de service.

Si vous identifiez des lancements non autorisés, arrêtez-les immédiatement et informez le fournisseur de cloud computing en créant un ticket. Le fournisseur de services en nuage renonce généralement à tous les frais encourus par des intrusions de ce type si elles sont signalées en temps utile.

Est-ce que ça peut devenir compliqué ?

Absolument - si vous ne disposez pas d'une journalisation centralisée pour tous vos comptes cloud. Cela devient alors un cauchemar pour l'administrateur du cloud de parcourir tous les fichiers journaux des différents comptes cloud et de détecter les compromissions.

Dans le cas d'AWS, cela peut devenir assez compliqué car les attaquants utilisent généralement le chaînage de rôles pour se déplacer latéralement dans votre cloud. La détection et le triage des activités de chaînage de rôles dans vos comptes cloud et la recherche de l'événement principal sont complexes et prennent du temps.

Dans cet article, nous avons cité l'exemple du "cryptojacking" et la manière dont les mineurs de crypto-monnaies tirent parti des mauvaises configurations courantes des nuages et abusent des ressources de calcul des nuages publics.

  CependantEn ce qui concerne le cryptojacking, la violation d'un compte de service n'est en aucun cas limitée aux activités de cryptojacking. Une fois qu'un intrus est entré, il peut infliger des dommages catastrophiques à votre infrastructure en nuage. Il chassera les données de votre joyau de la couronne et les exfiltrera ou fera quelque chose d'aussi grave que de mettre hors service vos serveurs de production en cours si ce compte de service a reçu des privilèges d'administrateur.

Protéger votre cloud contre le cryptojacking

Nous vous recommandons les mesures suivantes pour protéger votre cloud contre les activités de cryptojacking.

Comment C3M peut vous aider à atténuer les risques liés au cloud ?

Il y a quatre domaines clés où C3M peut aider
Visibilité -
Gouvernance de la sécurité
Reporting
Automatisation

Le nuage public est conçu pour être intrinsèquement sûr. Il suffit de le configurer de manière sécurisée. Vous avez des questions sur la façon de configurer correctement votre cloud ? - Veuillez vous adresser à info@c3m.io et l'un de nos spécialistes de la sécurité des nuages organisera une session GRATUITE de 30 minutes avec votre équipe. Aucun engagement n'est requis.

Articles connexes

C3M sort 4.2.0

La version 4.2.0 apporte un grand nombre de nouvelles fonctionnalités, caractéristiques et politiques, y compris la très attendue version C3M.

Lire plus "

Playbooks C3M

Les playbooks apportent des capacités d'automatisation et de réponse à l'orchestration de la sécurité (SOAR) à la plateforme de contrôle C3M Cloud.

Lire plus "