Admin
Администратор
Северокорейская группа UNC4899 провела сложную атаку на облачную инфраструктуру криптовалютной компании, похитив цифровые активы на миллионы долларов.
Взлом начался с обычного файла, который разработчик получил под видом совместной работы над проектом с открытым исходным кодом.
Злоумышленники убедили разработчика скачать архив якобы для участия в совместной разработке. Файл сначала открыли на личном устройстве, а затем перенесли на рабочий компьютер через функцию AirDrop. Внутри архива находился вредоносный скрипт на Python, который загрузил и запустил двоичный файл, маскирующийся под консольную утилиту Kubernetes. Программа связалась с доменом злоумышленников и превратилась в скрытый канал доступа к рабочему компьютеру. Через активные сеансы и доступные учётные данные злоумышленники проникли в облачную инфраструктуру Google Cloud. Затем начался этап разведки, в ходе которого группа обнаружила промежуточный сервер доступа и изменила параметры политики многофакторной аутентификации. После входа злоумышленники продолжили разведку и получили доступ к отдельным компонентам среды Kubernetes. Для закрепления в инфраструктуре UNC4899 использовала тактику «жизнь за счёт облака», изменив конфигурацию развёртывания Kubernetes. Параллельно злоумышленники вмешались в ресурсы Kubernetes, связанные с платформой непрерывной интеграции и доставки. В конфигурацию добавили команды, которые выводили служебные токены учётных записей в журналы системы. Один из токенов принадлежал учётной записи с высокими правами. С его помощью группа повысила привилегии и начала перемещаться по инфраструктуре. Токен позволил подключиться к чувствительному контейнеру, который работал в привилегированном режиме. Через него злоумышленники вышли за пределы контейнера и установили ещё один скрытый канал доступа для постоянного присутствия в системе. После очередного этапа разведки внимание злоумышленников переключилось на рабочую нагрузку, связанную с управлением учётными записями клиентов. В конфигурации контейнера хранились переменные среды со статическими учётными данными базы данных. Защита отсутствовала. С помощью полученных данных группа подключилась к рабочей базе данных через прокси Cloud SQL и выполнила SQL-команды. Злоумышленники изменили параметры нескольких учётных записей пользователей, включая сброс паролей и обновление ключей многофакторной аутентификации. После захвата этих учётных записей удалось вывести цифровые активы на несколько миллионов долларов. В отчёте Google указано, что инцидент показал опасность передачи файлов между личными и рабочими устройствами, а также риски неправильной работы с секретными данными в облачных системах. Компании рекомендуют внедрять строгую проверку личности, ограничивать передачу данных между устройствами и жёстко изолировать рабочие среды в облаке. Также советуют отключать или ограничивать обмен файлами через AirDrop и Bluetooth на корпоративных устройствах и внимательно отслеживать необычные процессы внутри контейнеров.
