Jüngsten Branchenuntersuchungen zufolge wurden mehrere Kampagnen und Tools der MERCURY APT-Gruppe (auch bekannt als MuddyWater, Static Kitten), die weithin mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht wird, dabei beobachtet, wie sie schädliche Angriffe in Microsoft Azure Cloud-Umgebungen starteten.
Eine von Microsoft durchgeführte Studie zeigt, wie Angreifer mit nationalem Hintergrund sich Zugang zu anfälligen, unsicheren Ressourcen vor Ort sowie zu Cloud-Umgebungen verschafft haben, wodurch sie der Infrastruktur des Zielunternehmens erheblichen Schaden zufügen konnten. Bei Unternehmen, die hybride Windows-Domänenumgebungen mit einer Kombination aus lokalem Active Directory (AD) und Azure Active Directory (AAD) betreiben, wurde der Azure Active Directory Connect-Agent manipuliert, wodurch sie Zugang zu ihrer Online-Azure-Infrastruktur erhielten und die Azure-Umgebung des Opfers zerstörten.
Dies reichte von der Löschung ihrer virtuellen Azure-Maschineninstanzen, Serverfarmen und Arbeitslasten, virtuellen Netzwerke, Speicherkonten und mehr.
Während ihrer Operationen haben die Bedrohungsakteure aktiv sowohl auf lokale als auch auf Cloud-Umgebungen abgezielt. Nach dem, was derzeit über diese Kampagne bekannt ist, waren ihre Hauptziele Störung und Zerstörung.
Interessanterweise entspricht dieses störende und zerstörerische Verhalten den allgemein bekannten Taktiken, Techniken und Verfahren (TTP) iranischer Angreifer. Dies gilt insbesondere für die schädlichen Angriffe auf Saudi Aramco im Jahr 2012, die von iranischen Hackern durchgeführt wurden, sowie für die fortgesetzte Nutzung von DDoS-Angriffen und Wiper-Malware, um Systeme zu überschreiben oder anderweitig unbrauchbar oder nicht wiederherstellbar zu machen (es sei denn, Unternehmen haben funktionierende Backups).
Doppelt interessant ist die starke Ausrichtung der APT-Gruppe auf das Cloud-Ökosystem von Microsoft. In der Vergangenheit konzentrierten sich ihre Angriffe meist auf anfällige, lokale Exchange-Dienste und Fortinet-Sicherheitsanwendungen oder in letzter Zeit auf Online-Dienste wie Dropbox und OneHub.
Wie kommt es zu diesen Vorfällen?
Es sollte nicht überraschen, dass sich die raffinierten Hacker von heute zunehmend auf Cloud-Umgebungen konzentrieren, um ihre Ziele zu erreichen. Unabhängig davon, ob die Geopolitik eine Rolle in der Geschichte dieses nationalstaatlichen Akteurs spielt, sehen wir weiterhin die Ausnutzung von Fernzugriffs-Tools als primären Einstiegsvektor in Zielumgebungen.
Da die meisten Unternehmen ihre Entwicklung in Richtung Cloud fortsetzen, bieten hybride Infrastrukturen Flexibilität für Anforderungen, die in reinen Cloud-Ökosystemen nicht erfüllt werden können oder noch nicht bereit für eine Cloudifizierung sind. Durch die Aufrechterhaltung von lokalen und Cloud-nativen Ressourcen (vermutlich in einer synchronisierten, hybriden Form) können diese Unternehmen das Beste aus beiden Welten nutzen, bis effizientere Methoden für sie ausgereift sind.
Da sich diese Philosophie immer mehr durchsetzt, genießen Bedrohungsakteure den Gedanken, ihre Muskeln bei den traditionelleren und etablierten Zugangsvektoren (z.B. Remote-Desktop-Verbindung) spielen zu lassen, um dann schließlich mit einem Drehpunkt in der Cloud-Infrastruktur des Ziels belohnt zu werden. In der Folge bietet diese neue Cloud-Domäne enorme Möglichkeiten für Diebstahl, finanzielle Gewinne durch Lösegeldzahlungen, Unterbrechung oder sogar völlige Zerstörung, wie wir hier sehen.
Was kann man tun?
Bedrohungen wie diese profitieren von anfälligen oder ungeschützten Diensten, die einen Brückenkopf in die Umgebung eines Ziels bieten. Von da an kommt es nur noch darauf an, wo und wie böswillige Akteure überschüssige Privilegien und Berechtigungen ausnutzen, um ihre Angriffe auszuführen. Die Reduzierung Ihrer gesamten Angriffsfläche ist zumindest ein wichtiger Schritt, um die "niedrig hängenden Früchte" zu vereiteln, die den Bedrohungsakteuren vor die Nase gelegt werden. Das bedeutet, dass Sie Fernzugriffsdienste, private Anwendungen oder Protokolle, die nicht mehr benötigt werden oder nicht öffentlich zugänglich sein sollten, hinter veralteten Perimeter-Tools deaktivieren oder zumindest segmentieren sollten. Funktionen wie Zero Trust Network Access (ZTNA) ermöglichen es Unternehmen, softwaredefinierte Perimeter zu erstellen und das Unternehmensnetzwerk in mehrere Mikrosegmente zu unterteilen, um die seitliche Bewegung von Bedrohungen zu verhindern und die Angriffsfläche im Falle eines Einbruchs zu verringern.
Kontinuierliche Zugriffsbewertungen und -validierungen sind ebenfalls sehr wirksame Abhilfemaßnahmen, da Missbrauchsversuche bei jeder einzelnen Zugriffsanfrage erkannt und verhindert werden können. Auf der Grundlage der Bewertung der Benutzeridentität, der Geräteidentität, der Sicherheitslage und anderer kontextbezogener Faktoren erlaubt ZTNA jedem Benutzer mit einer erfolgreichen Anmeldung den Zugriff mit den geringsten Rechten auf bestimmte Anwendungen und nicht auf das gesamte zugrunde liegende Netzwerk.
Da wir auch beobachten, dass Konfigurationen innerhalb von Microsoft Azure-Umgebungen manipuliert werden, um den Weg für die Zerstörung zu ebnen, sowie den Missbrauch von privilegierten Microsoft Azure-Administratorkonten, können Funktionen wie Posture Management dabei helfen, Aktivitäten und Änderungen zu erkennen und zu verhindern, die als anomal oder gegen die Unternehmensstandards verstoßend gelten.
Skyhigh Security hilft dabei, indem es die Funktionen zur Aktivitätsüberwachung und zur Überprüfung der Sicherheitskonfiguration auf Microsoft Azure-Infrastrukturen ausweitet. Um interne und externe Bedrohungen der Azure-Infrastruktur zu erkennen, erfasst Skyhigh Security eine vollständige Aufzeichnung aller Benutzeraktivitäten in Microsoft Azure über mehrere Heuristiken, erkennt Bedrohungen, ergreift automatisch risikomindernde Maßnahmen und unterstützt forensische Untersuchungen. Sobald die Bedrohungen beseitigt sind, bezieht Skyhigh diese Daten automatisch in seine Verhaltensmodelle ein, um die Erkennungsgenauigkeit zu verbessern.
Skyhigh aktualisiert dynamisch und kontinuierlich Schwellenwerte für jeden Benutzer und jede Gruppe, um Aktivitäten zu identifizieren, die auf Insider-Bedrohungen hinweisen. Integrierte Analysen für privilegierte Benutzer identifizieren Risiken durch inaktive Administratorkonten, übermäßige Berechtigungen und ungerechtfertigte Eskalation von Berechtigungen und Benutzerbereitstellung.