Хмарна безпека, операції безпеки
Хакери використовують дійсні облікові дані клієнта для повторного шифрування об’єктів S3
Акшая Асокан (asokan_akshaya) •
20 січня 2025 року
Amazon Web Services рекомендує своїм клієнтам застосувати додаткові заходи безпеки для захисту сегментів S3 після повідомлень про атаки програм-вимагачів, націлених на платформу.
Дивіться також: ШІ, хмара та кіберзагрози: посібник із виживання у фінансовому секторі
У дописі в блозі Amazon повідомляє, що зловмисники повторно зашифрували дані, що зберігаються в сегментах Amazon S3, використовуючи облікові дані легітимного клієнта.* Атаки були спрямовані на серверне шифрування програми або SSE-C з використанням наданих клієнтом ключів, які використовуються Amazon для безпечної обробки шифрування. ключі, не зберігаючи їх.
Компанія не розкрила подробиць атак, але додала, що виявила «велику кількість» операцій, пов’язаних із функцією копіювання файлів S3. CopyObject. Хакер використовував SSE-C для перезапису об’єктів, викликаючи повторне шифрування «даних клієнтів новим ключем шифрування».
Незважаючи на те, що компанії вдалося пом’якшити атаки, вона заявила, що важко «надійно відрізнити дійсне використання від зловмисного», оскільки хакери використовували законні облікові дані клієнта. Компанія рекомендує своїм клієнтам розгорнути додаткові заходи безпеки, щоб захистити своє середовище S3.
Вони включають блокування SSE-C як шифрування для програм, що не використовуються, реалізацію відновлення даних за допомогою керування версіями S3 для збереження кількох версій об’єкта та копіювання або надання спільного доступу до резервних копій критично важливих даних в інше відро. «Найефективніший підхід до зменшення ризику скомпрометованих облікових даних — це взагалі ніколи не створювати довгострокові облікові дані», — сказав представник Amazon.
«Ці пом’якшення вже запобігли успіху великої частки спроб», — повідомили в Amazon.
Повідомлення від компанії надійшло лише через кілька днів після того, як охоронна фірма Halcyon RISE виявила кампанію програм-вимагачів, яка використовувала сегменти AWS S3. Охоронна фірма приписала кампанію групі загроз, яку вона відстежує як Codefinger (див.: Кампанія програм-вимагачів націлена на сегменти Amazon S3).
Кампанія почалася з того, що зловмисники ідентифікували ключі AWS із дозволами на читання та запис об’єктів S3. Зловмисники ініціювали шифрування за допомогою ключа AES-256, згенерованого та збереженого локально.
Оскільки AWS реєструє лише HMAC ключа під час його обробки, чого недостатньо для реконструкції ключа чи дешифрування даних, це дозволило хакерам маніпулювати політикою керування життєвим циклом SSE-C. Зловмисники встановили семиденний термін видалення даних, щоб змусити жертв заплатити викуп.
У Halcyon RISE заявили, що така тактика атаки створює значні ризики, оскільки може призвести до остаточної втрати даних і дозволити зловмисникам поставити під загрозу всю ІТ-інфраструктуру організації-жертви.
Роз’яснення 21 січня 2025 р. 22:53 UTC: Amazon Web Services повідомила, що не створювала «сповіщення» про цю активність, а лише допис у блозі. Він також підкреслив свою рекомендацію про те, що найефективнішим підходом до зменшення ризику скомпрометованих облікових даних є ніколи не створювати довгострокові облікові дані.