Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) Εκστρατεία UNC4899 για την παραβίαση του cloud

Εκστρατεία UNC4899 για την παραβίαση του cloud

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια εξελιγμένη κυβερνοεισβολή το 2025 έχει συνδεθεί με τον βορειοκορεατικό απειλητικό παράγοντα UNC4899, μια ομάδα που είναι ύποπτη για την ενορχήστρωση μιας μεγάλης κλίμακας παραβίασης ενός οργανισμού κρυπτονομισμάτων που είχε ως αποτέλεσμα την κλοπή εκατομμυρίων δολαρίων σε ψηφιακά περιουσιακά στοιχεία. Η εκστρατεία έχει αποδοθεί με μέτρια εμπιστοσύνη σε αυτόν τον κρατικά χρηματοδοτούμενο εχθρό, ο οποίος παρακολουθείται επίσης με διάφορα άλλα ονόματα, όπως Jade Sleet, PUKCHONG, Slow Pisces και TraderTraitor.

Το περιστατικό ξεχωρίζει λόγω της πολυεπίπεδης μεθοδολογίας του. Οι εισβολείς συνδύασαν την κοινωνική μηχανική με την εκμετάλλευση μηχανισμών μεταφοράς δεδομένων από προσωπικό σε εταιρικό peer-to-peer και αργότερα στράφηκαν στην υποδομή cloud του οργανισμού. Μόλις βρίσκονταν μέσα στο περιβάλλον cloud, οι νόμιμες ροές εργασίας DevOps καταχράστηκαν για τη συλλογή διαπιστευτηρίων, την αποφυγή ορίων κοντέινερ και την χειραγώγηση βάσεων δεδομένων Cloud SQL για τη διευκόλυνση της κλοπής.

Από την προσωπική συσκευή στο εταιρικό δίκτυο: Ο αρχικός συμβιβασμός

Η επίθεση ξεκίνησε με μια προσεκτικά σχεδιασμένη εκστρατεία κοινωνικής μηχανικής. Ένας προγραμματιστής που εργαζόταν στον στοχευμένο οργανισμό εξαπατήθηκε ώστε να κατεβάσει ένα αρχείο αρχειοθέτησης που παρουσιάστηκε ως μέρος ενός νόμιμου έργου συνεργασίας ανοιχτού κώδικα. Αφού κατέβασε το αρχείο σε μια προσωπική συσκευή, ο προγραμματιστής το μετέφερε σε έναν εταιρικό σταθμό εργασίας χρησιμοποιώντας το AirDrop, γεφυρώνοντας ακούσια ένα όριο ασφαλείας μεταξύ προσωπικού και εταιρικού περιβάλλοντος.

Η αλληλεπίδραση με το αρχείο πραγματοποιήθηκε μέσω ενός Ολοκληρωμένου Περιβάλλοντος Ανάπτυξης (IDE) με υποβοήθηση τεχνητής νοημοσύνης. Κατά τη διάρκεια αυτής της διαδικασίας, εκτελέστηκε κακόβουλος κώδικας Python που ήταν ενσωματωμένος στο αρχείο. Ο κώδικας ανέπτυξε ένα δυαδικό αρχείο που μεταμφιέστηκε ως εργαλείο γραμμής εντολών Kubernetes, επιτρέποντάς του να φαίνεται νόμιμο κατά την εκτέλεση κακόβουλων λειτουργιών.

Στη συνέχεια, το δυαδικό αρχείο επικοινώνησε με έναν τομέα που ελεγχόταν από τους εισβολείς και λειτούργησε ως κερκόπορτα εντός του εταιρικού συστήματος. Αυτή η βάση επέτρεψε στους επιτιθέμενους να μεταβούν από τον παραβιασμένο σταθμό εργασίας στο περιβάλλον Google Cloud του οργανισμού, πιθανώς αξιοποιώντας ενεργές συνεδρίες με έλεγχο ταυτότητας και προσβάσιμα διαπιστευτήρια.

Μόλις οι επιτιθέμενοι εισέβαλαν στην υποδομή cloud, ξεκίνησαν μια φάση αναγνώρισης που είχε σχεδιαστεί για να εντοπίσει υπηρεσίες, έργα και σημεία πρόσβασης που θα μπορούσαν να αξιοποιηθούν για περαιτέρω παραβίαση.

Εκμετάλλευση Περιβάλλοντος Cloud και Κλιμάκωση Προνομίων

Κατά τη διάρκεια του σταδίου αναγνώρισης, οι επιτιθέμενοι εντόπισαν έναν κεντρικό υπολογιστή-προμαχώνα (bastion host) στο περιβάλλον cloud. Τροποποιώντας το χαρακτηριστικό πολιτικής ελέγχου ταυτότητας πολλαπλών παραγόντων (multi-factor authentication policy) του κεντρικού υπολογιστή, επιτεύχθηκε μη εξουσιοδοτημένη πρόσβαση. Αυτή η πρόσβαση επέτρεψε δραστηριότητες αναγνώρισης σε μεγαλύτερο βάθος, συμπεριλαμβανομένης της πλοήγησης σε συγκεκριμένα pod εντός του περιβάλλοντος Kubernetes.

Στη συνέχεια, οι εισβολείς μεταπήδησαν σε μια στρατηγική «ζώντας εκτός cloud», βασιζόμενοι κυρίως σε νόμιμα εργαλεία και διαμορφώσεις cloud και όχι σε εξωτερικό κακόβουλο λογισμικό. Η ανθεκτικότητα επιτεύχθηκε τροποποιώντας τις διαμορφώσεις ανάπτυξης του Kubernetes, έτσι ώστε μια κακόβουλη εντολή bash να εκτελείται αυτόματα κάθε φορά που δημιουργούνταν νέες ομάδες (pods). Αυτή η εντολή ανέκτησε και ανέπτυξε ένα backdoor, διασφαλίζοντας τη συνεχή πρόσβαση.

Οι βασικές ενέργειες που πραγματοποίησε ο φορέας απειλής κατά τη διάρκεια της παραβίασης περιελάμβαναν:

  • Τροποποίηση πόρων Kubernetes που σχετίζονται με την πλατφόρμα CI/CD του οργανισμού για την εισαγωγή εντολών που εξέθεσαν διακριτικά λογαριασμού υπηρεσίας σε αρχεία καταγραφής συστήματος.
  • Απόκτηση ενός διακριτικού που συνδέεται με έναν λογαριασμό υπηρεσίας CI/CD με υψηλά προνόμια, επιτρέποντας την κλιμάκωση προνομίων και την πλευρική μετακίνηση προς μια ομάδα που είναι υπεύθυνη για τις πολιτικές δικτύου και την εξισορρόπηση φορτίου.
  • Χρήση του κλεμμένου διακριτικού για έλεγχο ταυτότητας σε μια ευαίσθητη ομάδα υποδομής που λειτουργεί σε προνομιακή λειτουργία, διαφυγή από το περιβάλλον των κοντέινερ και εγκατάσταση μιας μόνιμης κερκόπορτας.
  • Διεξαγωγή πρόσθετης αναγνώρισης πριν από τη στόχευση ενός φόρτου εργασίας που είναι υπεύθυνο για τη διαχείριση των πληροφοριών των πελατών, συμπεριλαμβανομένων των ταυτοτήτων των χρηστών, των στοιχείων ασφαλείας του λογαριασμού και των δεδομένων του πορτοφολιού κρυπτονομισμάτων.
  • Εξαγωγή στατικών διαπιστευτηρίων βάσης δεδομένων που δεν είχαν αποθηκευτεί σωστά σε μεταβλητές περιβάλλοντος pod.
  • Αξιοποίηση αυτών των διαπιστευτηρίων μέσω του Cloud SQL Auth Proxy για πρόσβαση στη βάση δεδομένων παραγωγής και εκτέλεση εντολών SQL που τροποποίησαν λογαριασμούς χρηστών, συμπεριλαμβανομένων επαναφορών κωδικών πρόσβασης και ενημερώσεων σε seeds ελέγχου ταυτότητας πολλαπλών παραγόντων για διάφορους λογαριασμούς υψηλής αξίας.

Αυτοί οι χειρισμοί τελικά επέτρεψαν στους επιτιθέμενους να ελέγξουν τους παραβιασμένους λογαριασμούς και να αποσύρουν με επιτυχία αρκετά εκατομμύρια δολάρια σε κρυπτονομίσματα.

Επιπτώσεις στην ασφάλεια των μεταφορών δεδομένων μεταξύ περιβαλλόντων

Το περιστατικό αναδεικνύει αρκετές κρίσιμες αδυναμίες ασφαλείας που συναντώνται συνήθως σε σύγχρονα περιβάλλοντα cloud-native. Οι μηχανισμοί μεταφοράς δεδομένων peer-to-peer από προσωπικό σε εταιρικό επίπεδο, όπως το AirDrop, μπορούν να παρακάμψουν ακούσια τα στοιχεία ελέγχου ασφάλειας των επιχειρήσεων, επιτρέποντας σε κακόβουλο λογισμικό που έχει εισαχθεί σε προσωπικές συσκευές να φτάσει σε εταιρικά συστήματα.

Πρόσθετοι παράγοντες κινδύνου περιελάμβαναν τη χρήση προνομιούχων λειτουργιών κοντέινερ, την ανεπαρκή τμηματοποίηση μεταξύ φόρτων εργασίας και την μη ασφαλή αποθήκευση ευαίσθητων διαπιστευτηρίων σε μεταβλητές περιβάλλοντος. Κάθε μία από αυτές τις αδυναμίες αύξανε την ακτίνα έκρηξης της εισβολής μόλις οι εισβολείς απέκτησαν αρχική βάση.

Αμυντικές στρατηγικές για τον μετριασμό παρόμοιων απειλών

Οι οργανισμοί που λειτουργούν υποδομές που βασίζονται στο cloud, ειδικά εκείνοι που διαχειρίζονται χρηματοοικονομικά περιουσιακά στοιχεία ή κρυπτονομίσματα, πρέπει να εφαρμόσουν πολυεπίπεδους αμυντικούς ελέγχους που αντιμετωπίζουν τους κινδύνους τόσο των τελικών σημείων όσο και του cloud.

Αποτελεσματικά μέτρα μετριασμού περιλαμβάνουν:

  • Εφαρμογή ελέγχων πρόσβασης με επίγνωση του περιβάλλοντος και πολυπαραγοντικού ελέγχου ταυτότητας ανθεκτικό στο ηλεκτρονικό ψάρεμα (phishing).
  • Διασφάλιση ότι μόνο αξιόπιστες και επαληθευμένες εικόνες κοντέινερ αναπτύσσονται σε περιβάλλοντα cloud.
  • Απομόνωση παραβιασμένων κόμβων και αποτροπή της δημιουργίας συνδέσεων με εξωτερικούς κεντρικούς υπολογιστές.
  • Παρακολούθηση περιβαλλόντων κοντέινερ για μη αναμενόμενες διεργασίες ή ανώμαλη συμπεριφορά χρόνου εκτέλεσης.
  • Υιοθέτηση ισχυρών πρακτικών διαχείρισης μυστικών για την εξάλειψη της αποθήκευσης διαπιστευτηρίων σε μεταβλητές περιβάλλοντος.
  • Επιβολή πολιτικών τελικών σημείων που απενεργοποιούν ή περιορίζουν τις μεταφορές αρχείων peer-to-peer, όπως το AirDrop ή το Bluetooth, και αποτροπή της τοποθέτησης μη διαχειριζόμενων εξωτερικών μέσων σε εταιρικές συσκευές.

Μια ολοκληρωμένη στρατηγική άμυνας σε βάθος που επικυρώνει την ταυτότητα, περιορίζει τις ανεξέλεγκτες οδούς μεταφοράς δεδομένων και επιβάλλει αυστηρή απομόνωση κατά τον χρόνο εκτέλεσης (runtime isolation) σε περιβάλλοντα cloud μπορεί να μειώσει σημαντικά τον αντίκτυπο παρόμοιων προηγμένων καμπανιών εισβολής.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
21,503
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...