ظهور حملة من الأختراقات تدعى SCARLETEEL تستهدف اجهزة كلاود AWS والـ Kubernetes لسرقة البيانات

News
تستهدف عملية قرصنة متقدمة يطلق عليها اسم "SCARLETEEL" تطبيقات الويب العامة التي تعمل بأنظمة الـ Cloud لاختراق الخدمات السحابية وسرقة البيانات الحساسة
Mostafa Tamam
March 4, 2023, 2:20 p.m.
mostafa_tamam
ظهور حملة من الأختراقات تدعى SCARLETEEL تستهدف اجهزة كلاود AWS والـ Kubernetes لسرقة البيانات

فى الأوائل من شهر مارس ظهرت حملة هجوم معقدة يطلق عليها اسم SCARLETEEL تستهدف بيئة عمل الـ containeris لارتكاب سرقة بيانات الى تسريب كود المصدر الخاص بالمشروع , تم اكتشاف SCARLETEEL بواسطة شركة استخبارات الأمن السيبراني Sysdig أثناء الاستجابة لحادث في إحدى البيئات السحابية لعملائها.

قالت شركة Sysdig في تقرير جديد: "استغل المهاجم عبء العمل في الحاويات او الـ containeris الخاصة بالنظام ثم استفاد منه لإجراء عملية privilege escalation اى تصعيد الصلاحيات للمستخدم إلى حساب AWS من أجل سرقة بيانات الاعتماد والبرمجيات فى النظام"

كان لدى المهاجمين أيضًا المهارات الازمة فى انظمة الـ Cloud ومعرفة بآليات سحابة AWS ، مثل أدوار Elastic Compute Cloud (EC2) ووظائف Lambda و برامج Terraform, لذلك كان هذا الهجوم أكثر تعقيدًا من معظم الهجمات ، حيث بدأ من حاوية Kubernetes المخترقة وانتشر إلى حساب AWS للضحية, والنتيجة النهائية لم تكن مجرد هجوم نموذجي لـ Cryptojacking. كان لدى المهاجم دوافع أخرى مثل سرقة proprietary software الخاصة بكل نظام.

ايضا قام المخترقون بنشر برامج الـ crypto miner او التعدين المشفر ، والذي قالت شركة الأمن السيبراني إنه إما محاولة لتوليد أرباح غير مشروعة أو حيلة لصرف المدافعين وإبعادهم عن المسار.

خطوات عملية الأختراق

قام فريق Threat Research الخاص بشركة Sysdig بتوضيح خطوات هذة العملية من هذة الخطوات.

1- استغلال خدمة عامة لمجموعة من الـ Kubernetes داخل حساب AWS Cloud وبالتالى وصول مبدئى الى النظام
2- بمجرد وصول المهاجم إلى النظام ، كان البرنامج الضار قادرًا على تنفيذ إجراءين أوليين أثناء التنفيذ:
   - يقوم بتشغيل برامج الـ cryptominer لكسب المال أو توفير الإلهاء.
   - البحث عن بيانات اعتماد مستخدمين IAM من خلال بيئة Lambda
 
3- استخدم المهاجم بيانات الاعتماد الموجودة في الخطوة السابقة ثم اجرى عدة عمليات :
    - تعطيل سجلات CloudTrail لتجنب الاكتشاف.
    - سرقة الـ proprietary software.
    - البحث عن بيانات اعتماد مستخدم IAM ذات الصلة بحساب AWS مختلف من خلال اكتشاف ملفات Terraform في حاويات S3.

4- استخدم المهاجم بيانات الاعتماد الجديدة للتحرك فى النظام وتكرار الهجوم من حساب AWS الى اخر.

يمكنك ايضا ان تتطلع على تقرير الـ Technical analysis الخاص بشركة Sysdig.

enlightenedكيفية تأمين البنية التحتية لأنظمة الـ Cloud الخاصة بك

يثبت هجوم SCARLETEEL أن عدم تطبيق الـ IAM roles بشكل متقن وأن نقطة ضعف واحدة في بيئة السحابة الخاصة بالمؤسسة يمكن أن تكون كافية في تهديد مستمر وبيئة خصبة للاستفادة منها في اختراق الشبكة وسرقة البيانات الحساسة.
تقترح شركة Sysdig أن تتخذ المؤسسات الإجراءات الأمنية التالية لحماية البنية التحتية السحابية الخاصة بها من الهجمات المماثلة:

1- حافظ على تحديث جميع برامجك.

2- استخدم IMDS v2 بدلاً من v1 ، مما يمنع الوصول غير المصرح به إلى البيانات.

3- اعتماد مبادئ أقل امتياز على جميع حسابات المستخدمين.

4- نطاق الوصول للقراءة فقط على الموارد التي قد تحتوي على بيانات حساسة مثل Lambda.

5- إزالة الأذونات القديمة وغير المستخدمة.

6- استخدم خدمات الإدارة الرئيسية مثل AWS KMS و GCP KMS و Azure Key Vault.

توصي Sysdig أيضًا بتنفيذ نظام كشف وتنبيه شامل لضمان الإبلاغ الفوري عن الأنشطة الضارة التي يقوم بها المهاجمون ، حتى عندما يتهربون من إجراءات الحماية.


يتابع المخترقون باستمرار التعلم، ليصبحوا خبراء في التعامل مع برمجة التطبيقات ووحدات التحكم الإدارية وانظمة الكلاود لمواصلة هجماتهم, لذلك قم بمشاركة الخبر على منصات التواصل الأجتماعى لتعميم الفائدة على مستخدمى انظمة الكلاود. 

References:

sysdig
thehackernews


scarleteel attack aws Sysdig Root-X News Mostafa Tamam