La double peine des cyberattaques de cryptominage visant le cloud

De même que l'équipe d'Ocean's Eleven ne pouvait se contenter d'attaquer un seul casino et a décidé d'en attaquer trois, certains cybercriminels multiplient les compromissions sur une même cible. Si les motivations sont bien souvent financières, il leur en faut toujours plus, elles sont aussi opportunistes : quitte à pouvoir se déplacer dans un réseau, autant en tirer le maximum de profit.

Ainsi, des campagnes malveillantes ont récemment visé les consoles de gestion sensibles dans le cloud, pour orchestrer un schéma de cryptominage sophistiqué, avec un mode opératoire structuré. Analyse.

Phase d’attaque nº 1 : l’entrée

Les attaquants ont repéré et accédé à une console Kubernetes exposée publiquement, et non protégée par un mot de passe ou par une authentification multi-facteurs (MFA). L’éventualité d’une erreur est à écarter, car ces puissants portails d’administration sont souvent négligés et exposés involontairement. Il s’agit en effet d’outils de développement d’applications spécifiques dans le cloud - tels que les plateformes d’orchestration de conteneurs - ou pour gérer tous les projets et ressources de cloud hébergés par un fournisseur.

Phase d’attaque nº 2 : l’exploration

Les attaquants ont découvert qu’au sein d’un pod Kubernetes, les identifiants d’accès étaient exposés à l’environnement cloud de l’entreprise, lequel contenait une base de données abritant des données sensibles. Il s’agissait notamment d’informations télémétriques exclusives, utilisées pour contrôler la qualité et les performances pour améliorer l’expérience clients.

Phase d’attaque nº 3 : l’exploitation 

Les attaquants ont pris le contrôle de la console du cloud, exécuté des scripts et utilisé un logiciel de minage pour exploiter les précieuses ressources cloud de l’entreprise afin d’extraire des cryptomonnaies. Pour passer inaperçus, ils ont intentionnellement réduit l’utilisation du CPU et masqué leur IP en utilisant un serveur proxy.

En s’appropriant des ressources informatiques, cette attaque couterait potentiellement à l’organisation des milliers d’euros en services cloud. Et si le cryptominage semble avoir été leur principal objectif, les hackers sont inévitablement tombés sur d’autres actifs de valeur. Les clés d’accès au cloud stockées localement ont déverrouillé des bases de données contenant des informations confidentielles, notamment des données télémétriques sensibles sur les clients de l’entreprise, qui peuvent être utilisées pour porter atteinte à la marque et à la réputation de l’entreprise.

Les garanties de la sécurité des identités dans le cloud

A l’instar de Danny Ocean, qui dans le film, pouvait compter sur ses complices. Les entreprises disposent également de plusieurs garde-fous, pour se protéger contre les attaques visant l’identité dans le cloud. Elles peuvent notamment :

  1. Améliorer la visibilité sur les autorisations. À mesure que l’adoption du cloud augmente, la surface d’attaque s’étend, en raison de la multiplication des autorisations accordées aux utilisateurs professionnels et aux machines. Pour réduire les risques, les entreprises doivent d’abord déterminer avec précision à quelles ressources du cloud chaque employé doit avoir accès, et à quel moment, puis identifier les moyens de révéler les autorisations cachées, inutilisées et mal configurées dans l’ensemble de leur environnement cloud.
  2. Assurer la rotation permanente et la gestion des identifiants à privilèges. Les identifiants à privilèges qui permettent aux employés, ainsi qu’aux fournisseurs tiers, d’accéder à chaque instant aux ressources du cloud public, aux consoles, aux outils de sécurité, au RPA, aux outils d’automatisation, ou encore à la gestion informatique, doivent être protégés par des contrôles strictes de gestion des accès à privilèges. Un accès juste-à-temps est également à envisager, pour réduire les privilèges permanents et l’exposition globale au risque.
  3. Renforcer les contrôles d’accès avec la MFA. Vérifier que les personnes sont bien celles qu’elles prétendent être peut sembler évident, mais il existe un risque significatif lorsque les organisations ne s’appuient que sur une seule méthode de vérification ; puisqu’un seul ensemble d’identifiants est facilement volé ou compromis. La MFA joue donc un rôle déterminant dans la vérification des identités des utilisateurs et la prévention des compromissions ; en particulier lorsqu’il s’agit d’applications SaaS auxquelles les utilisateurs accèdent régulièrement depuis l’extérieur du réseau.
  4. Fédérer l’accès aux ressources cloud. Il peut notamment d’agir des consoles, des machines virtuelles et des CLI.  Il est en outre conseillé de s’authentifier avec un fournisseur d’identité à privilèges.
  5. Appliquer le principe du moindre privilège à l’ensemble de l’environnement cloud. Il s’agit notamment de limiter l’accès des utilisateurs à hauts privilèges et des administrateurs d’outils DevOps, afin de garantir la conformité avec la législation en vigueur, telle que la Cloud Controls Matrix (CCM).