Il successo del cloud ha portato i cyber criminali a sviluppare malware progettati appositamente per operare negli ambienti cloud. Ne hanno analizzato uno i ricercatori dei Sentinel Labs, che hanno stilato un resoconto utile per riconoscere e contrastare questa nuova minaccia. A differenza dei malware tradizionali per Windows o macOS, che spesso mirano a rubare informazioni in modo indiscriminato, questa minaccia si concentra su specifici aspetti della sicurezza cloud. Per esempio, gli attaccanti eseguono script da remoto che interagiscono con le API dei servizi cloud presi di mira, con l'obiettivo di raccogliere credenziali o automatizzare l'invio massivo di messaggi di spam.

L’opinione degli esperti è che questa minaccia rappresenta un rischio significativo per le organizzazioni che utilizzano servizi cloud, in quanto può portare al furto di dati sensibili, all'interruzione dei servizi e a danni reputazionali. Le conseguenze possono essere particolarmente gravi per le aziende che affidano ai servizi cloud funzioni critiche per il loro business.

L’analisi tecnica

Dal punto di vista tecnico, questa minaccia si distingue per la sua modalità di distribuzione e installazione. Sulla pagina del blog ad essa dedicata ci sono tutti i dettagli tecnici, qui anticipiamo gli spunti principali. Gli attaccanti sfruttano errori di configurazione nelle applicazioni web o nei servizi SaaS per ottenere l'accesso a risorse che dovrebbero essere protette. Un esempio comune è la presenza di file esposti, come nel caso delle implementazioni di Laravel, o di istanze Jenkins non protette. L’altra tattica diffusa consiste nello sfruttamento di vulnerabilità di sicurezza non corrette.

Un problema di grande rilevanza è poi l'esposizione delle credenziali. Spesso, le aziende caricano inconsapevolmente le credenziali dei servizi su piattaforme di condivisione del codice pubblicamente accessibili, come Docker Hub, GitHub o Pastebin, agevolando il compito degli attaccanti, che possono trovarle e sfruttarle velocemente.

L'analisi degli strumenti dannosi può risultare complessa perché alcuni script si compongono di migliaia di righe di codice. Per snellire il processo di analisi si può ricorrere alla individuazione delle parole più frequenti, oppure procedere con la ricerca di parole chiave specifiche all'interno degli script, come per esempio profile, admin, password, username, port e via dicendo. Importante è poi la contestualizzazione, che restituisce informazioni importanti, per esempio, sugli Indicatori di Compromissione.

Un caso reale

I ricercatori dei Sentinel Labs hanno anche analizzato un container Docker utilizzato in una recente campagna di attacco. Ai fini della comprensione della dinamica di attacco è bene sapere che i container Docker sono composti da diversi livelli: il sistema operativo del container si trova nel primo livello, mentre i livelli successivi sono generati dalle istruzioni presenti nel Dockerfile. Utilizzando uno strumento come Docker Desktop è possibile esaminare i livelli del container e individuare eventuali comandi sospetti. Per esempio, se un container scarica utility come tor, curl o wget è probabile che venga utilizzato per scopi malevoli, come la propagazione di malware.

Il messaggio che emerge da questo studio è semplice: è necessario acquisire consapevolezza dei rischi riconducibili alle nuove minacce cloud e adottare misure preventive per proteggere dati e sistemi.