Analyse von Palo Alto Unit 42
Hacker nutzen ungesicherte Anmeldedaten aus
Foto: Madrolly - shutterstock.com
680.000 Identitäten in 18.000 Cloud-Konten aus 200 Unternehmen untersuchte das Analysten-Team Unit 42 von Palo Alto. Sie wollten die Konfigurationen der Zugriffsrechte und Nutzungsmuster verstehen. Was sich zeigte war, dass 99 Prozent der Cloud-Benutzer, -Services und -Ressourcen übermäßige Berechtigungen gewährten, die 60 Tage lang ungenutzt blieben. Angreifer, die diese Identitäten kompromittieren, können solche Berechtigungen nutzen, um sich seitlich oder vertikal zu bewegen und den Angriffsradius zu erweitern.
Die Daten von Unit 42 zeigen, dass die Zahlen der ungenutzten oder zu hohen Berechtigungen in integrierten Content Security Policies (CSPs) doppelt so hoch sind wie in den von Kunden erstellten Richtlinien. Vom System voreingestellte Zugriffsberechtigungen greifen dementsprechend zu hoch. Jedoch überarbeiten IT-Beauftragte zu selten diese Einstellungen und grenzen die Berechtigungen ein.
Für 65 Prozent der entdeckten Cloud-Sicherheitsvorfälle sind laut Unit 42 fehlende oder falsche Konfigurationen verantwortlich. Weitere 53 Prozent der analysierten Cloud-Konten ließen die Verwendung schwacher Passwörter und 44 Prozent die Wiederverwendung von Passwörtern zu. Darüber hinaus waren bei 62 Prozent der Unternehmen Cloud-Ressourcen öffentlich zugänglich.
Hacker betreiben Cryptomining
Alle von den Analysten identifizierten Hacker haben versucht, Cloud-Anmeldeinformationen zu sammeln, nachdem sie einen Server, Container oder Laptop kompromittiert hatten. Viele von ihnen waren ebenso darauf hinaus, Malware zu verbreiten, die infizierte Geräte manipuliert, um für sie Kryptowährungen zu schürfen. Hierbei spricht man vom Cryotimining oder auch Cryptojacking.
Die größten Hacker-Gruppen, die Unit 42 identifiziert hat, sind bereits bekannte Akteure:
TeamTNT: Diese Gruppe gilt als die raffinierteste beim Ausspähen von Identitäten in der Cloud. Zu den Techniken von TeamTNT gehören laterale Bewegungen innerhalb von Kubernetes-Clustern, die Einrichtung von IRC-Botnets (Internet Relay Chat) und das Stehlen von Cloud-Workload-Ressourcen zum Mining der Kryptowährung Monero. Der Sicherheitsanbieter Cado Security hat untersucht, wie TeamTNT AWS-Zugangsdaten stiehlt.
WatchDog: Laut Unit 42 ist diese Gruppe technisch sehr versiert, macht sich den Zugang zu Cloud-Anwendungen dennoch möglichst einfach. WatchDog bedient sich an anderen Gruppen wie TeamTNT und nutzt deren Go-Skripte sowie Cryptojacking-Skripte.
Kinsing: Auf offene Docker-Daemon-APIs hat es Kinsing abgesehen. Dafür nutzt die Gruppe GoLang-basierte Prozessen, die auf Ubuntu-Containern laufen. Mittlerweile zielt sie auch auf Container- und Cloud-Anmeldedaten ab.
Rocke: Spezialisiert ist diese Hacker-Gruppe auf Ransomware- und Cryptojacking-Operationen in Cloud-Umgebungen.
8220: Diese Gruppe ist mit Rocke verwandt und zielt vorrangig auf Container ab. Häufig verwenden die Hacker die Tools PwnRig oder DBUsed, bei denen es sich um angepasste Varianten der Monero-Mining-Software XMRig handelt.
Unit 42 zufolge können sich Unternehmen vor diesen Gruppe schützen, indem sie ihre IAM-Schwachstellen beheben. "Richtig konfiguriertes IAM kann unbeabsichtigte Zugriffe blockieren, Transparenz in Cloud-Aktivitäten schaffen und die Auswirkungen von Sicherheitsvorfällen reduzieren", fassen die Analysten zusammen. (ms)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.