.png)
Cloud Hopper: uma perspectiva de confiança zero
Cloud Hopper, a campanha de hackers suspeita de ter sido orquestrada por agentes chineses patrocinados pelo governo (carinhosamente conhecida como “APT10”), ocorreu de 2014 até pelo menos 2017 e impactou várias empresas ocidentais em diversos setores. Essa coleção específica de espionagem cibernética foi tão significativa que continuou a atrair atenção tanto na mídia de segurança quanto na mídia empresarial devido à escala da operação, à variedade de organizações alvo, ao tipo de informação coletada e, o mais importante, à própria natureza da violação inicial. Cloud Hopper alcançou seu nome agora conhecido devido ao comprometimento dos atacantes com as vítimas provedores de serviços gerenciados (MSP), aproveitando-os para “pular” da “nuvem” dos MSPs para as redes das empresas-alvo.
Existem muitos resumos excelentes e artigos detalhados sobre a violação, como os detalhados Operação Cloud Hopper relatório da PWC, que fornece uma análise profunda da violação. Em vez de repetir as mesmas informações aqui, analisaremos o Cloud Hopper da perspectiva de um Confiança zero estrutura e, especificamente, sobre como a adoção desse tipo de abordagem de segurança poderia ter reduzido a eficácia dos atacantes.
A Forrester Research apresentou o Zero Trust pela primeira vez há quase uma década, defendendo uma mudança da atitude de segurança “confie, mas verifique” para uma abordagem de “não confie em nada, monitore tudo, tenha menos privilégios”. Essa mudança, de depender de um grande perímetro para proteger um grupo de muitos ativos para um em que cada ativo seja considerado um alvo, visa eliminar a confiança inerente que torna as empresas mais vulneráveis a ataques.
O Estrutura Zero Trust se estende por sete pilares que, quando combinados, fornecem uma estratégia abrangente para proteger a empresa. Também fornece um ponto de partida útil para analisar por que um ataque foi bem-sucedido e entender qual pilar poderia ter ajudado a impedir o ataque se fosse mais forte. Como ficará claro, o Cloud Hopper teve muito sucesso devido aos níveis excessivos de confiança, que os atacantes conseguiram explorar em uma tempestade perfeita de deficiências de controle.
O ponto de partida, como acontece com muitas violações de dados, foi o comprometimento do pilar Pessoas. Lança altamente direcionada ataques de phishing documentos alavancados personalizados tanto para o setor da empresa alvo quanto para a função profissional do indivíduo que recebe a mensagem. Isso ajudou a garantir o carga maliciosa foi executado, permitindo que o atacante se estabelecesse na rede do MSP e obtivesse as credenciais de uma vítima. Além disso, se as vítimas tivessem acesso administrativo, a “barreira de entrada” era reduzida ainda mais. De um Confiança zero Em perspectiva, o acesso privilegiado deve ser fornecido “Just-In-Time” (somente pelo período de tempo necessário e removido quando o acesso não for mais necessário) com base na necessidade comercial aprovada de um sistema autorizado.
O próximo pilar a cair foi a Rede. O malware realizou o reconhecimento na rede da organização, mapeando os principais ativos, estabelecendo pontos de apoio persistentes e determinando como ela poderia atingir com mais eficiência a meta pretendida. No caso do Cloud Hopper, isso significava traçar um caminho do host comprometido inicial (geralmente chamado de “cabeça de praia”) na rede MSP até o destino final no ambiente do cliente. Outro elemento importante da rede era a capacidade do malware de enviar informações e receber instruções por meio de seu ambiente de Comando e Controle (CNC ou C2) na Internet. Essas duas fases — reconhecimento por meio de travessia de rede e recursos de call-home — serão analisadas separadamente, pois destacam tipos distintos de falhas abordadas nos princípios de segurança de rede da estrutura Zero Trust.
Em primeiro lugar, o malware dependia muito da capacidade de se comunicar com sua infraestrutura CNC, a ponto de se excluir completamente se esse acesso falhasse. Os ambientes de desktop, onde o malware é mais comumente entregue, geralmente usam proxies da Web para acessar a Internet, já que o acesso à Internet é essencial para a produtividade. As organizações devem tomar muito cuidado na forma como esse acesso é gerenciado, garantindo que somente usuários autorizados e autenticados tenham acesso ao proxy e que esse acesso esteja no nível mínimo para que os usuários realizem suas funções comerciais normalmente. No entanto, apesar desses controles serem implementados adequadamente, os invasores precisam apenas registrar domínios e colocá-los na categoria legítima do provedor de filtragem da web para contornar esses controles de nível de proxy. Nesses casos, o registro e o monitoramento de todo o acesso à web devem ser obrigatórios e vinculados a algumas análises comportamentais do usuário final, de forma que os desvios da atividade normal possam ser identificados e investigados.
A verdadeira chave para o sucesso do Cloud Hopper foi a capacidade dos atacantes de se moverem lateralmente.
Mas a verdadeira chave para o sucesso do Cloud Hopper foi a capacidade de atacantes para se moverem lateralmente dentro de cada rede MSP, com poucas restrições. Isso permitiu que eles criassem rapidamente um mapa dos hosts, processos e portas disponíveis que poderiam ser explorados e determinassem quais seriam os mais adequados para serem aproveitados na próxima fase do ataque. Para usar uma frase militar, isso geralmente é descrito como uma campanha de “salto pelas ilhas” por profissionais cibernéticos. A coleta bem-sucedida de credenciais privilegiadas de usuários e o acesso relativamente irrestrito à rede permitiram que os atacantes acessassem os sistemas de uma maneira que parecia legítima, usando protocolos de gerenciamento comuns, permitindo que passassem despercebidos. O reconhecimento de rede com um esforço relativamente baixo permitiu a fácil identificação de hosts de salto que forneciam ao MSP acesso à rede de cada cliente, de onde os atacantes podiam acessar os alvos reais de seus esforços.
Esse é um amálgama da falha dos pilares Zero Trust para dispositivos, redes e cargas de trabalho. Redes planas — redes com pouca ou nenhuma segmentação — são um playground para o adversário e essa situação não foi exceção. A falta de segmentação ou monitoramento adequados na rede interna do MSP permitiu que os invasores se movessem sem esforço e sem serem detectados. A segmentação teria bloqueado a capacidade dos atacantes de mapear a rede, identificar caminhos abertos ou se mover, exceto conforme permitido explicitamente pela política. A visibilidade de todo o tráfego da rede teria fornecido informações sobre os movimentos do atacante, possivelmente desencadeando uma investigação com antecedência suficiente para interromper o ataque antes que ele encontrasse os dados de destino. Os principais ativos, como servidores de salto (também conhecidos como bastion hosts), tinham conectividade com as redes MSP e de clientes, mas não estavam adequadamente protegidos em termos de acesso à rede ou ao usuário. A exigência de alguma forma de gerenciamento de acesso privilegiado para todo acesso direto ao servidor teria limitado severamente a capacidade dos atacantes de penetrar nas redes dos clientes.
O ataque Cloud Hopper destaca a falha de vários controles de segurança importantes e reforça a necessidade de uma abordagem diferente à segurança — uma abordagem em que as organizações assumem que a probabilidade de uma violação é de 100% e arquitetam seus ambientes para detectar rapidamente uma violação e minimizar seu impacto. Dada a forma como os atacantes avançados operam, a abordagem mais prudente é aquela em que, do zero, tudo é construído a partir do princípio do menor privilégio — uma abordagem de Zero Trust em relação à segurança.
