UNC4899 pilveteenuste kompromiteerimise kampaania
Põhja-Korea ohuaktivisti UNC4899-ga seostatakse 2025. aastal aset leidnud keerukat küberrünnakut – rühmitust, keda kahtlustatakse krüptovaluutaorganisatsiooni ulatusliku rikkumise korraldamises, mille tulemusel varastati miljoneid dollareid digitaalseid varasid. Kampaaniat on mõõduka kindlusega seostatud selle riiklikult toetatud vastasega, keda jälgitakse ka mitme teise nime all, sealhulgas Jade Sleet, PUKCHONG, Slow Pisces ja TraderTraitor.
See intsident paistab silma oma mitmekihilise metoodika poolest. Ründajad kombineerisid sotsiaalse manipuleerimise isiklike ja ettevõtetevaheliste andmeedastusmehhanismide ärakasutamisega ning hiljem pöördusid nad organisatsiooni pilveinfrastruktuuri poole. Pilvekeskkonda sisenedes kuritarvitati legitiimseid DevOps-töövooge volituste kogumiseks, konteinerite piiridest pääsemiseks ja pilve SQL-andmebaaside manipuleerimiseks varguse hõlbustamiseks.
Sisukord
Isiklikust seadmest ettevõtte võrguni: esialgne kompromiss
Rünnak algas hoolikalt kavandatud sotsiaalse manipuleerimise kampaaniaga. Sihtorganisatsioonis töötav arendaja peteti alla laadima arhiivifaili, mida esitleti osana legitiimsest avatud lähtekoodiga koostööprojektist. Pärast faili allalaadimist isiklikku seadmesse edastas arendaja selle AirDropi abil ettevõtte tööjaama, lüües tahtmatult silla isikliku ja ettevõtte keskkonna vahelise turvapiiri.
Arhiiviga suhtlemine toimus tehisintellekti abil loodud integreeritud arenduskeskkonna (IDE) kaudu. Selle protsessi käigus käivitati arhiivi manustatud pahatahtlik Pythoni kood. Kood kasutas binaarfaili, mis oli maskeeritud Kubernetes'i käsurea tööriistaks, võimaldades sellel pahatahtlike toimingute tegemise ajal näida legitiimne.
Seejärel võttis binaarfail ühendust ründajate kontrolli all oleva domeeniga ja toimis ettevõtte süsteemis tagauksena. See tugipunkt võimaldas vastastel liikuda ohustatud tööjaamast organisatsiooni Google Cloudi keskkonda, kasutades tõenäoliselt ära aktiivseid autentitud seansse ja ligipääsetavaid volitusi.
Kui ründajad olid pilveinfrastruktuuri sisenenud, alustasid nad luurefaasi, mille eesmärk oli tuvastada teenuseid, projekte ja pääsupunkte, mida saaks edasiseks rünnakuks ära kasutada.
Pilvekeskkonna ärakasutamine ja privileegide eskaleerimine
Luureetapis tuvastasid ründajad pilvekeskkonnas bastioni hosti. Hosti mitmefaktorilise autentimise poliitika atribuuti muutes saavutati volitamata juurdepääs. See juurdepääs võimaldas põhjalikumat luuretegevust, sealhulgas navigeerimist Kubernetes keskkonnas asuvatesse pod'idesse.
Seejärel läksid ründajad üle pilvevälisele strateegiale, tuginedes peamiselt legitiimsetele pilvetööriistadele ja konfiguratsioonidele, mitte välisele pahavarale. Püsivus saavutati Kubernetes'i juurutamise konfiguratsioonide muutmisega nii, et pahatahtlik bash-käsk käivituks automaatselt iga kord, kui loodi uusi pode. See käsk leidis ja käivitas tagaukse, tagades jätkuva juurdepääsu.
Ohu tekitaja peamised toimingud kompromiteerimise ajal olid järgmised:
- Organisatsiooni CI/CD platvormiga seotud Kubernetes ressursside muutmine, et süstida süsteemilogidesse käske, mis paljastasid teenusekonto tokenid.
- Kõrgelt privilegeeritud CI/CD-teenuse kontoga seotud tokeni hankimine, mis võimaldab privileegide eskaleerimist ja külgmist liikumist võrgupoliitikate ja koormuse tasakaalustamise eest vastutava podi suunas.
- Varastatud tokeni kasutamine privilegeeritud režiimis töötava tundliku infrastruktuuri podi autentimiseks, konteinerkeskkonnast väljumine ja püsiva tagaukse paigaldamine.
- Täiendava eeluuringu läbiviimine enne klienditeabe (sh kasutajaidentiteedid, konto turbeandmed ja krüptovaluuta rahakoti andmed) haldamisega seotud töökoormuse sihtimist.
- Staatiliste andmebaasi mandaatide ekstraheerimine, mis olid valesti salvestatud pod-keskkonnamuutujatesse.
- Nende volituste kasutamine pilvepõhise SQL-i autentimisproksi kaudu tootmisandmebaasile juurdepääsuks ja SQL-käskude täitmiseks, mis muutsid kasutajakontosid, sealhulgas paroolide lähtestamine ja mitmefaktorilise autentimise seemnete värskendamine mitme suure väärtusega konto jaoks.
Need manipulatsioonid võimaldasid ründajatel lõpuks kontrollida ohustatud kontosid ja edukalt krüptovaluutat mitu miljonit dollarit välja võtta.
Keskkondadevahelise andmeedastuse turvamõjud
See intsident toob esile mitu kriitilist turvanõrkust, mida tänapäevastes pilvepõhistes keskkondades sageli leidub. Isikute ja ettevõtete vahelised peer-to-peer andmeedastusmehhanismid, näiteks AirDrop, võivad tahtmatult ettevõtte turvakontrollidest mööda hiilida, võimaldades isiklikele seadmetele installitud pahavaral jõuda ettevõtte süsteemidesse.
Lisariskitegurite hulka kuulusid privilegeeritud konteinerrežiimide kasutamine, töökoormuste ebapiisav segmenteerimine ja tundlike volituste ebaturvaline salvestamine keskkonnamuutujates. Kõik need nõrkused suurendasid sissetungi ulatust, kui ründajad olid esialgse jalgealuse saanud.
Sarnaste ohtude leevendamise kaitsestrateegiad
Pilvepõhiseid infrastruktuure haldavad organisatsioonid, eriti need, mis haldavad finantsvarasid või krüptovaluutat, peavad rakendama kihilisi kaitsemeetmeid, mis käsitlevad nii lõpp-punkti kui ka pilveriske.
Tõhusad leevendusmeetmed hõlmavad järgmist:
- Kontekstiteadlike juurdepääsukontrollide ja andmepüügikindla mitmefaktorilise autentimise rakendamine.
- Tagades, et pilvekeskkondades juurutatakse ainult usaldusväärseid ja kontrollitud konteineri kujutisi.
- Ohustatud sõlmede isoleerimine ja nende väliste hostidega ühenduste loomise takistamine.
- Konteinerikeskkondade jälgimine ootamatute protsesside või anomaalse käitusaja käitumise suhtes.
- Keskkonnamuutujates mandaatide salvestamise välistamiseks võetakse kasutusele tugevad salasõnade haldamise tavad.
- Jõustatakse lõpp-punkti poliitikad, mis keelavad või piiravad peer-to-peer failiedastust (nt AirDrop või Bluetooth) ja takistavad haldamata väliste andmekandjate paigaldamist ettevõtte seadmetele.
Põhjalik ja põhjalik kaitsestrateegia, mis valideerib identiteeti, piirab kontrollimatuid andmeedastuskanaleid ja jõustab pilvekeskkondades range isolatsiooni tööajal, saab oluliselt vähendada sarnaste täiustatud sissetungikampaaniate mõju.
