O Google publicou em março um relatório sobre ataques utilizando nuvens. Dentre os destaques, os pesquisadores revelam como hackers norte-coreanos roubaram milhões de dólares de uma empresa de criptomoedas.
Na semana passada, o Google Threat Intelligence Group (GTIG) também fez um alerta para quem usa iPhone e iPad, revelando uma nova e poderosa ameaça que pode roubar criptomoedas de seus usuários.
Google publica relatório sobre ataque contra empresa de criptomoedas
O relatório aponta que os hackers da Coreia do Norte usaram engenharia social, exploração de mecanismos de transferência de dados P2P para entrar nos computadores da empresa a partir do dispositivo de um empregado, e fluxos de trabalho.
Além disso, também usaram recursos legítimos da nuvem para passarem despercebidos, utilizando técnicas chamadas de “living-off-the-cloud” (LOTC).
Ou seja, assim que tiveram êxito em entrar na nuvem da empresa alvo, eles fingiram ser usuários normais usando ferramentas legítimas para pegar senhas para depois acessar e manipular os bancos de dados para, por fim, roubar as criptomoedas.
Em detalhes, o Google aponta que um desenvolvedor foi atraído pelos hackers para realizar um suposto projeto de código aberto. No entanto, o empregado acabou baixando um arquivo infectado e o transferindo para seu computador de trabalho.
“Usando seu IDE assistido por IA, a vítima interagiu com o conteúdo do arquivo, eventualmente executando o código malicioso em Python incorporado, que gerou e executou um binário disfarçado como ferramenta de linha de comando Kubernetes”, explica o Google.
“Este binário se comunicou com domínios controlados pela UNC4899 (hackers norte-coreanos) e serviu como backdoor, dando aos atacantes acesso à estação de trabalho da vítima, efetivamente garantindo uma entrada na rede corporativa.”
Após isso, os hackers se aproveitaram de sessões autenticadas no host para entrar no Google Cloud da empresa, realizando um reconhecimento de diversos serviços e projetos.
O último passo foi obter chaves de acesso mais poderosas (tokens de contas de serviço CI/CD de alto privilégio) que lhe permitiam tomar mais ações, incluindo mudanças nas políticas de rede e gerenciamento de planos de dados.
“Em seguida, a UNC4899 utilizou as credenciais do banco de dados, acessou o banco de produção via Cloud SQL Auth Proxy e executou diversos comandos SQL, resultando em modificações não autorizadas em contas de usuários, incluindo redefinição de senhas e atualizações de MFA para várias contas de alto valor. Os atacantes então usaram essas contas comprometidas para retirar com sucesso vários milhões de dólares em criptomoedas.”
O Google, no entanto, não revela qual foi a empresa afetada.
Independente disso, dá recomendações para outras companhias, incluindo a “adoção de uma estratégia de defesa que valide rigorosamente a identidade, restrinja a transferência de dados em terminais e imponha isolamento estrito em ambientes de runtime de nuvem para limitar o impacto de um evento de intrusão”.
Por fim, o relatório também cobre vulnerabilidades de software, roubo de identidade/dados, insiders maliciosos e ataques via OpenID Connect.
