Google analysiert Methoden hinter GCP-Workload-Angriffen

Automatisierte Scans, verbesserte Angriffstools und neue Möglichkeiten zur Monetarisierung von Kompromissen nach sich ziehen Cloud-Workloads und Serverinstanzen zu Hauptangriffszielen gemacht, so Google Cloud in seinem am 23. November veröffentlichten ersten Mitteilung “Threat Horizons”.

Solche Vektoren sind nicht neu, erweisen sich jedoch zusammen mit Angreifern wie durchweg effektiv. Dieser Mitteilung von Google Cloud ergab, dass Eindringlinge sich hinaus Fehlkonfigurationen, schlechte Sicherheitspraktiken jener Kunden und anfällige Software von Drittanbietern konzentrierten, um so gut wie 75 % jener Instanzen zu kompromittieren. Die Wissen stammen aus jener Schlussbetrachtung von 50 kürzlich kompromittierten Instanzen jener Google Cloud Platform (GCP), in denen 48 % schwache – oder keine – Passwörter aufwiesen, 26 % eine Sicherheitslücke in Software von Drittanbietern aufwiesen und 12 % durch Fehlkonfigurationen kompromittiert wurden.

Weltall solche Bedrohungen sind gut prestigeträchtig, bleiben handkehrum effektive Möglichkeiten, Systeme aufgrund menschlicher Fehler zu kompromittieren, schrieb Bob Mechler, Rektor im Büro des CISO zusammen mit Google Cloud, in einem Blogbeitrag.

„Während Cloud-Kunden nachdem wie vor einer Vielzahl von Bedrohungen in Anwendungen und Infrastrukturen ausgesetzt sind, sind viele erfolgreiche Angriffe hinaus mangelnde Hygiene und fehlende grundlegende Kontrollimplementierungen zurückzuführen“, schrieb er zusammen mit dem Sicherheitsredakteur von Google Cloud, Seth Rosenblatt. “Im Zuge dieser spezifischen Beobachtungen und allgemeinen Bedrohungen werden Organisationen, die Zahl hinaus eine sichere Implementierung, Überwachung und kontinuierliche Sicherung legen, erfolgreicher zusammen mit jener Eindämmung dieser Bedrohungen sein oder zumindest ihre Gesamtauswirkungen reduzieren.”

Die Zusammensetzung aus falsch konfigurierten Cloud-Instanzen und automatisierten Angriffen bedeutete, dass die Inhaber von Cloud-Workloads wenig Zeit hatten, Abwehrmaßnahmen zu stärken. In 40 % jener Fälle erfolgte die Kompromittierung in weniger wie acht Zahlungsfrist aufschieben; in mindestens einem Kernpunkt in nur 30 Minuten.

Angreifer zu Geld machen Kompromisse vielmals mit Kryptowährungs-Mining-Software oder Ransomware und versuchen oft, Anmeldeinformationen zusätzlich Phishing-Angriffe zu vereinen, um ihre Leistungsnachweis zusätzlich kompromittierte Computer und Dienste auszudehnen. Die häufigste Methode zu Gunsten von Angreifer, eine kompromittierte Instanz hinaus jener Google Cloud Platform (GCP) zu nutzen, war die Installation von Kryptowährungs-Mining-Software, welches in 86 % jener Instanzen nachdem einer Kompromittierung geschah.

Untergeordnet die Zustellung jener Nutzlast erfolgte sehr schnell – mehr wie die Hälfte jener kompromittierten Instanzen hatte dem Mitteilung zufolge Kryptomining-Software in weniger wie 30 Sekunden geliefert.

„Dies deutet darauf hin, dass die ersten Angriffe und nachfolgenden Downloads geskriptete Ereignisse waren, die kein menschliches Intervention erforderten“, heißt es in dem Mitteilung von Google Cloud. “Die Möglichkeit, in diesen Situationen manuell einzugreifen, um eine Ausbeutung zu verhindern, ist so gut wie unmöglich. Die beste Verteidigung wäre, kein anfälliges System bereitzustellen oder automatisierte Reaktionsmechanismen zu verwenden.”

In weiteren 10 % jener Fälle nutzten die Angreifer die kompromittierte Instanz, um dasjenige Netz nachdem anderen anfälligen Zielen zu durchsuchen, so dasjenige Unternehmen in seinem Mitteilung.

Dieser Mitteilung fasst Wissen und Erkenntnisse einer Vielzahl interner Google-Teams zusammen, darunter die Google Threat Analysis Group (TAG), Google Cloud Security and Trust Center und Google Cloud Threat Intelligence for Chronicle, Trust and Safety.

Solche Threat Intelligence- und Sicherheitsgruppen entdeckten selbst eine Operation jener von jener russischen Regierung unterstützten Fancy Bear-Menschenschlag, selbst prestigeträchtig wie APT28, die mehr wie 12.000 Gmail-Konten in einer Phishing-Kampagne nutzte, mit jener versucht wurde, Google-Kontoanmeldeinformationen von bestimmten Benutzern zu vereinen. Da die Menschenschlag kombinieren großen Versorger nutzte, bestanden die Phishing-Nachrichtensendung die Entgegen-Spam-Sicherheitsprüfung, Sender Policy Framework (SPF).

Die Angriffe zielten am stärksten hinaus die Vereinigten Staaten, Großbritannien und Indien, handkehrum selbst hinaus andere Nationen, darunter Brasilien, Kanada, viele Länder jener Europäischen Union und Russland.

Google empfahl Unternehmen, sich darauf zu subsumieren, sicherzustellen, dass bereitgestellte Software und Workloads mit hoher Sicherheit konfiguriert sind. Zusätzlich zu vernünftigen Sicherheitsmaßnahmen, wie jener Zwei-Koeffizient-Authentifizierung und dem regelmäßigen automatischen Scannen jener Webapplikation, benötigen Unternehmen Tools, die verhindern, dass Passwörter, Schlüssel und Zertifikate versehentlich beim Veröffentlichen von Quellcode verloren werden. Jeder Quellcode von Drittanbietern, jener in einer Gebrauch verwendet wird, sollte überprüft und wie Integritätsprüfung gehasht werden. Und Unternehmen sollten wiedererkennen, dass die Vorteile jener Cloud mit einigen Vorbehalten verbunden sind, heißt es in dem Mitteilung.

„Unlust jener wachsenden öffentlichen Hinsicht zu Gunsten von Cybersicherheit sind Spear-Phishing- und Social-Engineering-Taktiken vielmals triumphierend“, heißt es in dem Mitteilung von Google. “Wie zusammen mit anderen Gießen jener IT-Sicherheit zu tun sein Abwehrmaßnahmen robust und geschichtet sein, um Cloud-Ressourcen aufgrund des allgegenwärtigen Zugriffs zu schützen.”