Secondo una ricerca condotta da Cisco Talos, utenti malintenzionati stanno utilizzando trojan di accesso remoto (RAT) del tipo Nanocore, Netwire e AsyncRAT per rubare dati sensibili dai PC delle vittime sfruttando i servizi AWS di Amazon e Azure di Microsoft nelle loro attività dannose.
I ricercatori hanno appunto rilevato che questi attacchi di spear phishing hanno preso di mira principalmente le aziende negli Stati Uniti, in Canada, in Italia e a Singapore.
Indice degli argomenti
Ecco perché il cloud è sotto attacco
La scoperta della nuova campagna malevola conferma che le attività dei cyber criminali fanno sempre più affidamento sul supporto delle infrastrutture esistenti e quelle cloud stanno diventando il bersaglio più quotato.
Lo sfruttamento delle infrastrutture cloud, infatti, elimina la necessità per gli aggressori di possedere e mantenere propri server, oltre a consentire loro di utilizzare questo come meccanismo di cloaking (mimetizzandosi) per sfuggire al rilevamento da parte del software di sicurezza.
Le app di collaborazione e comunicazione come Discord, Slack e Telegram hanno recentemente fatto scoprire le loro abilità di trasmissione in numerose catene di infezione, consentendo ai criminali (che si trovano dietro il comando dei RAT) di assumere il controllo ed esfiltrare i dati dai dispositivi delle vittime. Analizzato in questa ottica, l’abuso della piattaforma cloud è un’estensione tattica che gli aggressori potrebbero utilizzare per ottenere l’accesso a una varietà di reti.
Questa particolare attività, secondo Nick Biasini, capo di Cisco Talos, ha una serie di elementi interessanti. Affronta una serie di problemi che sono frequentemente osservati da malintenzionati, che vanno dall’uso del DNS dinamico per le operazioni di comando e controllo (C2) all’uso dell’infrastruttura cloud per ospitare malware.
Inoltre, i livelli di offuscamento rispecchiano l’attuale livello comune delle attività informatiche illecite. Per arrivare al payload principale e a individuare gli obiettivi finali dell’attacco, sono necessari molto studio e accurate analisi.
L’infrastruttura cloud, e in particolare quelle di AWS e Azure che sono le due più grandi ed evolute al mondo, presentano dunque dei punti deboli che, è giusto evidenziarlo, non coinvolgono direttamente la struttura in sé o vulnerabilità in software da essa implementati.
Sono più che altro il vettore con il quale l’attacco si sposta, si “parcheggia” e resta in attesa di atterrare nella prossima vittima.
Il cloud deve essere considerato infrastruttura critica
Alla luce anche degli ultimi sviluppi del settore cloud in supporto alla sicurezza ed efficienza tecnologica per un numero sempre maggiore di enti e aziende, anche in Italia, bisogna forse iniziare a valutare queste strutture anch’esse come critiche, in modo da aumentarne la resilienza con l’ausilio sicuramente di nuove tecniche di intelligence preventivo, aumentando le attività di monitoraggio all’interno dei propri spazi.
Cosa non del tutto automatica e semplice, perché si tratta di meccanismi quasi impossibili da portare avanti se non con l’utilizzo di avanzate tecniche AI che, quasi sicuramente (soprattutto all’inizio) ne renderebbe molto limitante anche l’utilizzo legittimo. E alla luce di questo, sempre più persone arriverebbero a chiedersi quanto sia giusto basare il proprio business su tecnologie che da un momento all’altro potrebbero filtrare i propri contenuti.
I dettagli della campagna malevola
In questo caso specifico, normalmente tutto inizia con un’e-mail di phishing che presenta in allegato un file ZIP a tema “fattura” che, una volta aperto, avvia la prima sequenza di attacco che scarica i payload della fase successiva ospitati su un server Windows basato su Azure Cloud o un’istanza AWS EC2 di Amazon, culminando nella distribuzione di vari RAT già noti come AsyncRAT, Nanocore e Netwire.
Vale anche la pena notare che DuckDNS, un provider DNS dinamico gratuito, può essere utilizzato per generare sottodomini dannosi e trasmettere malware, e spesso lo si ritrova proprio come alleato strumento di queste campagne.
Il server di download in Azure Cloud e altri server che funzionano come C2 per i payload RAT sono stati trovati attualmente attivi, analizzando la risoluzione DNS dei sottodomini dannosi controllati dall’attore delle minacce che sono state prese in esame dallo studio.
Esempio di phishing. Fonte: Cisco Talos blog.
Un problema di sicurezza da affrontare subito
“Gli attori dannosi sono opportunisti e cercheranno sempre modi nuovi e fantasiosi per ospitare malware e infettare le vittime”, dice Biasini commentando lo studio. “L’abuso di piattaforme come Slack e Discord, nonché il relativo abuso del cloud, fanno parte di questo schema. Inoltre, troviamo comunemente anche siti Web compromessi utilizzati per ospitare malware e altre infrastrutture e sottolinea ancora una volta il fatto che questi avversari utilizzeranno qualsiasi mezzo per compromettere le vittime”.
L’importanza sensibile di questa tematica riconducibile al cloud come “mezzo di trasporto” cyber, viene confermata anche dall’ultimo report di Netskope, di recente pubblicazione.
Dedicato al cloud e alla sicurezza di questa tecnologia, il report si prefigge il compito di evidenziare le nuove tendenze emerse nel 2021 rispetto all’anno precedente. Se si mettono in una classifica d’importanza queste tendenze, la prima rilevata che occupa la parte più alta del podio nel 2021 è proprio Google Drive. Il cloud pubblico di Mountain View emerge come l’app migliore per i download di malware, prendendo il posto di Microsoft OneDrive, mentre la percentuale di download di malware dalle app cloud è aumentata dal 46% del 2020, ha raggiunto il picco del 73% e si è stabilizzata al 66%, altro dato che ci deve far riflettere.
Conclusione
Una cosa è certa: anche la tecnologia cloud, spesso considerata indiscutibilmente sicura, ha le sue debolezze, fragilità e problematiche.
Bisogna cercare di affrontarle, soprattutto con la consapevolezza, con un equilibrio giusto tra senso critico e fiducia, utile appunto a realizzare la migliore soluzione che mescolerà gli ingredienti di Intelligenza Artificiale e tecniche di intelligence preventivo, in maniera sempre più mirata e funzionale all’interno dell’infrastruttura cloud, senza dimenticare di non far perdere quell’equilibrio di fiducia anche nell’utilizzatore finale.
