Kampaň UNC4899 za narušení bezpečnosti cloudu
Sofistikovaný kybernetický útok z roku 2025 byl spojován se severokorejským aktérem hrozby UNC4899, skupinou podezřelou z organizování rozsáhlého útoku na kryptoměnovou organizaci, který vedl ke krádeži digitálních aktiv v hodnotě milionů dolarů. Kampaň byla s mírnou jistotou připisována tomuto státem sponzorovanému protivníkovi, který je sledován i pod několika dalšími jmény, včetně Jade Sleet, PUKCHONG, Slow Pisces a TraderTraitor.
Incident vyniká svou vícevrstvou metodologií. Útočníci kombinovali sociální inženýrství se zneužitím mechanismů peer-to-peer přenosu dat mezi osobními a firemními sítěmi a později se přesunuli do cloudové infrastruktury organizace. Jakmile se dostali do cloudového prostředí, legitimní pracovní postupy DevOps byly zneužity ke shromažďování přihlašovacích údajů, obcházení hranic kontejnerů a manipulaci s databázemi Cloud SQL za účelem usnadnění krádeže.
Obsah
Z osobního zařízení do firemní sítě: První kompromis
Útok začal pečlivě promyšlenou kampaní sociálního inženýrství. Vývojář pracující v cílové organizaci byl podveden ke stažení archivního souboru prezentovaného jako součást legitimního projektu open-source spolupráce. Po stažení souboru do osobního zařízení jej vývojář pomocí AirDropu přenesl do firemní pracovní stanice, čímž neúmyslně překlenul bezpečnostní hranici mezi osobním a podnikovým prostředím.
Interakce s archivem probíhala prostřednictvím integrovaného vývojového prostředí (IDE) s podporou umělé inteligence. Během tohoto procesu byl spuštěn škodlivý kód Pythonu vložený do archivu. Kód nasadil binární soubor maskovaný jako nástroj příkazového řádku Kubernetes, což mu umožňovalo vypadat legitimně i při provádění škodlivých operací.
Binární soubor poté kontaktoval doménu ovládanou útočníky a fungoval jako zadní vrátka v rámci podnikového systému. Tato opora umožnila útočníkům přesunout se z napadené pracovní stanice do prostředí Google Cloud organizace, pravděpodobně s využitím aktivních ověřených relací a přístupných přihlašovacích údajů.
Jakmile se útočníci dostali do cloudové infrastruktury, zahájili fázi průzkumu, jejímž cílem bylo identifikovat služby, projekty a přístupové body, které by mohly být zneužity k dalšímu ohrožení bezpečnosti.
Využití cloudového prostředí a eskalace oprávnění
Během fáze průzkumu útočníci identifikovali bastionový hostitel v cloudovém prostředí. Úpravou atributu politiky vícefaktorového ověřování hostitele byl dosažen neoprávněný přístup. Tento přístup umožnil hlubší průzkumné aktivity, včetně navigace ke konkrétním podům v prostředí Kubernetes.
Útočníci poté přešli na strategii „žít mimo cloud“, spoléhající se primárně na legitimní cloudové nástroje a konfigurace, nikoli na externí malware. Perzistence byla zajištěna úpravou konfigurace nasazení Kubernetes tak, aby se škodlivý příkaz bash automaticky spustil při každém vytvoření nových podů. Tento příkaz načetl a nasadil zadní vrátka, čímž zajistil nepřetržitý přístup.
Mezi klíčové akce, které útočník provedl během kompromitace, patřily:
- Úprava zdrojů Kubernetes spojených s platformou CI/CD organizace za účelem vkládání příkazů, které zpřístupňují tokeny servisních účtů v systémových protokolech.
- Získání tokenu vázaného na vysoce privilegovaný servisní účet CI/CD, což umožňuje eskalaci oprávnění a laterální přesun směrem k podu zodpovědnému za síťové zásady a vyvažování zátěže.
- Použití ukradeného tokenu k ověření v citlivém infrastrukturním podu pracujícím v privilegovaném režimu, opuštění prostředí kontejneru a instalace perzistentních zadních vrátek.
- Provedení dodatečného průzkumu před zaměřením na pracovní zátěž odpovědnou za správu informací o zákaznících, včetně identit uživatelů, bezpečnostních údajů o účtech a dat o kryptoměnových peněženkách.
- Extrahování statických přihlašovacích údajů databáze, které byly nesprávně uloženy v proměnných prostředí podu.
- Využití těchto přihlašovacích údajů prostřednictvím proxy Cloud SQL Auth pro přístup k produkční databázi a spuštění příkazů SQL, které upravily uživatelské účty, včetně resetování hesel a aktualizací vícefaktorového ověřování pro několik vysoce hodnotných účtů.
Tyto manipulace nakonec útočníkům umožnily ovládnout napadené účty a úspěšně vybrat několik milionů dolarů v kryptoměnách.
Bezpečnostní důsledky přenosu dat mezi prostředími
Tento incident zdůrazňuje několik kritických bezpečnostních slabin, které se běžně vyskytují v moderních cloudových prostředích. Mechanismy peer-to-peer přenosu dat mezi osobními a firemními zařízeními, jako je AirDrop, mohou neúmyslně obejít podnikové bezpečnostní kontroly, což umožňuje malwaru zavedenému na osobních zařízeních dosáhnout firemních systémů.
Mezi další rizikové faktory patřilo používání privilegovaných kontejnerových režimů, nedostatečná segmentace mezi úlohami a nezabezpečené ukládání citlivých přihlašovacích údajů v proměnných prostředí. Každá z těchto slabin zvýšila dosah útoku, jakmile útočníci získali počáteční oporu.
Obranné strategie ke zmírnění podobných hrozeb
Organizace provozující cloudové infrastruktury, zejména ty, které spravují finanční aktiva nebo kryptoměny, musí zavést vícevrstvé obranné kontroly, které řeší rizika jak pro koncové body, tak pro cloud.
Mezi účinná zmírňující opatření patří:
- Implementace kontextově orientovaných kontrol přístupu a vícefaktorového ověřování odolného vůči phishingu.
- Zajištění, aby se v cloudových prostředích nasazovaly pouze důvěryhodné a ověřené image kontejnerů.
- Izolace kompromitovaných uzlů a zabránění jejich navazování spojení s externími hostiteli.
- Monitorování prostředí kontejnerů s cílem zjistit, zda se v nich vyskytují neočekávané procesy nebo anomální chování za běhu.
- Zavedení robustních postupů správy tajných klíčů k eliminaci ukládání přihlašovacích údajů do proměnných prostředí.
- Vynucování zásad pro koncové body, které zakazují nebo omezují přenosy souborů mezi platformami peer-to-peer, jako je AirDrop nebo Bluetooth, a zabraňují připojování nespravovaných externích médií na firemních zařízeních.
Komplexní strategie hloubkové obrany, která ověřuje identitu, omezuje nekontrolované cesty přenosu dat a vynucuje přísnou izolaci za běhu v cloudových prostředích, může výrazně snížit dopad podobných pokročilých intruzivních kampaní.
