TeamTNT attaque les identifiants IAM d’AWS et de Google Cloud

  • FrançaisFrançais


  • Des gens passent devant une exposition Google Cloud lors des journées presse au salon de l’auto IAA de Francfort 2019 le 11 septembre 2019 à Francfort-sur-le-Main, en Allemagne. (Photo de Sean Gallup/Getty Images)

    Des chercheurs ont rapporté vendredi que TeamTNT utilisait des informations d’identification AWS compromises pour attaquer les environnements cloud AWS via l’interface de programmation d’applications de la plate-forme cloud. Les acteurs de la menace ciblent désormais également les informations d’identification de 16 applications supplémentaires, y compris les applications AWS ainsi que les informations d’identification Google Cloud.

    Les chercheurs ont déclaré que les acteurs de la menace peuvent désormais identifier toutes les autorisations de gestion des identités et des accès (IAM), les instances de cloud informatique élastique, les compartiments S3, les configurations CloudTrail et les opérations CloudFormation accordées aux informations d’identification AWS compromises.

    Cette attaque était importante, car en frappant Google Cloud, c’est la première fois que des attaquants ciblent des informations d’identification IAM sur des instances cloud compromises en dehors d’AWS. Bien qu’il soit toujours possible que TeamTNT cible les informations d’identification IAM de Microsoft Azure, Alibaba Cloud, Oracle Cloud ou IBM Cloud en utilisant des méthodes similaires, les chercheurs de l’Unité 42 n’ont pas encore trouvé de preuves qu’il y a eu une attaque contre les autres fournisseurs de cloud. TeamTNT a commencé à collecter les informations d’identification AWS sur les instances cloud qu’ils avaient compromises dès août 2020.

    Dans un article de blog, les chercheurs de l’unité 42 de Palo Alto ont déclaré que ces dernières découvertes suivaient le groupe de menaces ayant ciblé les clusters Kubernetes et créé un nouveau malware appelé Black-T qui intègre des outils open source natifs du cloud pour faire progresser ses opérations de cryptojacking.

    Yaniv Bar-Dayan, co-fondateur et PDG de Vulcan Cyber, a déclaré que toute entreprise utilisant des services cloud doit comprendre que le déchargement de l’infrastructure de calcul et de stockage vers un fournisseur de cloud ne signifie pas le déchargement de la sécurité du cloud. Les entreprises doivent toujours appliquer un plan complet de gestion et d’atténuation des vulnérabilités à toutes les cyber-ressources utilisées par une entreprise, y compris les applications cloud.

    “Les vulnérabilités du cloud ne sont pas les mêmes que les vulnérabilités des applications et les deux nécessitent des actions de correction et d’atténuation différentes pour se protéger d’organisations comme TeamTNT”, a déclaré Bar-Dayan. « Nous sommes d’accord avec les chercheurs de l’Unité 42 et réitérons le besoin immédiat de protéger l’infrastructure cloud en utilisant les étapes de correction appropriées communes aux environnements cloud, telles que les modifications de configuration, les contrôles de compensation et les solutions de contournement. »

    TeamTNT commence par infiltrer un environnement de cloud public – avec AWS de loin la cible la plus répandue, bien que Google Cloud ait été touché cette fois-ci – et crée une carte de l’environnement qui inclut les informations d’identification, les charges de travail et le stockage, a déclaré Oliver Tavakoli, CTO chez Vectra.

    “Tout cela représente l’équivalent d’établir un camp de base avant de gravir un haut sommet”, a déclaré Tavakoli. « Ensuite, l’insertion d’un logiciel de cryptomining commence avec TeamTNT comptant sur le fait que les organisations cibles ne remarqueront pas la hausse des frais d’utilisation pendant un certain temps. »

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *