Uno speciale contributo di Paolo Passeri, Cyber Intelligence Principal presso Netskope

Il cloud è sicuramente uno degli elementi che più ha agevolato la diffusione del lavoro da remoto, consentendo agli utenti di accedere ai dati da qualsiasi luogo, ma nel contempo ha anche reso gli utenti stessi dei facili obiettivi per gli attacchi informatici. Il cloud è, infatti, sempre più bersaglio da parte di attaccanti che tentano di compromettere gli account per trarre profitto dai dati che ricavano. 

Uno degli ultimi e preoccupanti trend è il crescente numero di attacchi di phishing nei confronti degli account in cloud. Subito dopo aver spostato dati e workload sul cloud, le organizzazioni hanno immediatamente ricevuto le sgradite attenzioni dei cybercriminali. Un account compromesso non solo consegna le “chiavi di casa” e, virtualmente, tutti i dati aziendali salvati nel cloud direttamente nelle mani degli attaccanti, ma può fungere anche da trampolino di lancio per ulteriori attacchi. Inoltre, nel caso della IaaS, le risorse possono essere utilizzate a scopi dannosi come il cryptomining.  

I grandi gruppi dietro gli attacchi al cloud

Gli attacchi tradizionali puntavano a forzare il perimetro aziendale: ora che il nuovo perimetro è rappresentato dagli utenti, gli hacker stanno concentrando i loro sforzi sulle identità. Tale cambiamento è facilitato da molti fattori. Per esempio, le ormai frequenti grandi violazioni di dati mettono a disposizione degli attaccanti le credenziali per eseguire attacchi su vasta scala di tipo “password spraying”“credential stuffing”. Il tutto peggiorato dalla persistente noncuranza di molti utenti che riutilizzano le stesse password per più applicazioni. Questa cattiva abitudine viene aggravata dalle organizzazioni che non attuano misure di sicurezza basilari, come l’autenticazione multi fattore o una strategia efficace per la gestione del ciclo di vita delle password. In questo contesto, non è di certo sorprendente che, di recente, Microsoft abbia pubblicato un alert sull’aumento del password spraying mirato agli account. Il motivo dell’incremento? Un tale attacco è semplice e facilmente replicabile.

Persino l’ecosistema criminale dei cosiddetti initial access broker si sta espandendo per raggiungere il cloud. Un recente studio di Lacework ha rivelato come gli account amministrativi di Amazon AWS, Google Cloud e Azure stanno sempre più acquisendo popolarità nei mercati underground, poiché consentono un notevole ritorno sull’investimento se comparato alla relativa complessità dell’attacco. Ciò dipende dalla quantità (e dal valore) dei dati e delle risorse a cui si può accedere compromettendo questi servizi. Le stesse preoccupazioni si possono estendere ai servizi SaaS come Google Workspace o Microsoft 365: prendendo in esame Google Forms, una recente ricerca pubblicata da Sophos ha descritto dettagliatamente i molteplici modi in cui un account legittimo compromesso può essere sfruttato dai malintenzionati, per lanciare campagne di phishing (per servizi tradizionali o applicazioni in cloud), ricognizione o sottrazione illecita di dati. Gli hacker continuano a dare prova della loro creatività e tenacia nel raggiungere il loro obiettivo, come ha dimostrato la recente campagna di phishing in cui hanno impersonato un’azienda di sicurezza per accedere alle credenziali di caselle e-mail Microsoft e Google.

I gruppi criminali state sponsored sondano il cloud

Per gettare altra benzina sul fuoco, i criminali opportunisti non sono gli unici che puntano agli account in cloud. Tra i precursori, spicca il gruppo di cyber-spionaggio russo APT28 (alias “Fancy Bear”). È almeno dal 2016 che questo gruppo compromette account nel cloud, ovvero quando è stata scoperta la prima campagna destinata agli utenti di Gmail tramite phishing OAuth. Da quel momento, è diventata una prassi sempre più comune per la compromissione di questi account. E a quanto pare, non hanno abbandonato le loro cattive abitudini. A luglio del 2021, è stato emesso un allarme congiunto tra NSA, CISA, NCSC e un avviso dell’FBI in merito a una campagna di tipo brute-force rivolta agli account in cloud (e locali) attiva almeno a partire dalla metà del 2019 e portata avanti usando un cluster Kubernetes (dal cloud al cloud). Inoltre, i gruppi russi non sono soli: effettuare attacchi di tipo password-spraying è una attività attraente anche per i gruppi iraniani, come dimostrato da un’altra recente campagna contro oltre 250 tenant Office 365.     

E come se non bastasse all’inizio di ottobre 2021, Google ha informato oltre 14.000 utenti Gmail di diversi settori industriali, di una campagna di spear-phishing condotta dallo stesso gruppo APT28. Tale massiccia operazione ha rappresentato l’86% delle notifiche di allarme inviate da Google durante lo stesso mese. 

Se le organizzazioni intendono proteggere l’accesso al cloud dei loro utenti devono obbligatoriamente prendere in considerazione anche le vulnerabilità all’interno della loro supply chain. Per esempio, Microsoft (sì, di nuovo) di recente ha emesso un altro avviso sull’attività associata a NOBELIUM, il gruppo tristemente noto per l’attacco supply chain a SolarWinds. Quest’ultima campagna si è tenuta tra il 1° luglio e il 19 ottobre 2021 e puntava ad acquisire l’accesso ai clienti finali di diversi provider di servizi cloud (CSP), provider di servizi gestiti (MSP) e altre aziende di servizi IT. In totale, l’attacco è stato rivolto a 609 clienti per 22.868 volte.

Ridurre il rischio per gli account in cloud compromessi

Oltre a mettere in atto le policy più semplici per quanto riguarda le password, il primo step per ridurre il rischio di account in cloud compromessi consiste nell’abilitare l’autenticazione multi fattore con controllo degli accessi e la segregazione dei ruoli. Sfortunatamente, sembra che questa misura di sicurezza venga tralasciata dal 78% degli amministratori Microsoft 365 (e, di conseguenza, il 97% degli utenti Microsoft 365 nemmeno la conosce). 

Il monitoraggio degli audit log costituisce un ulteriore elemento chiave di una corretta strategia di sicurezza. Un cloud access security broker (CASB) integrato tramite API a un’applicazione cloud aziendale è in grado di analizzare i log e applicare i controlli UEBA (User and Entity Behavior anomaly) al fine di rilevare attività anomale indicative di un account compromesso.

Integrando il CASB come parte della soluzione SSE  (Security Service Edge), si possono applicare policy di controllo degli accessi condizionali (per esempio, l’applicazione cloud può essere configurata per accettare esclusivamente le connessioni provenienti dal security edge) e applicare misure aggiuntive (come l’autenticazione di tipo step-up).

Con l’avvento del cloud, gli utenti sono più esposti che mai. Le organizzazioni devono rispondere a questa crescente minaccia, utilizzando sia semplici protocolli come l’autenticazione a due fattori sia il CASB, sia strategie di accesso condizionato, se vogliono operare in modo sicuro e sereno nel cloud. 

Cloud Account: un obiettivo sempre più ambito da hacker opportunisti e state-sponsored ultima modifica: 2022-02-17T11:11:23+01:00 da Sara Comi

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui