Cloud Hopper: Eine Zero-Trust-Perspektive

Cloud Hopper, die Hacking-Kampagne, die im Verdacht steht, von staatlich geförderten chinesischen Agenten (liebevoll "APT10" genannt) orchestriert zu werden, lief von 2014 bis mindestens 2017 und betraf mehrere westliche Unternehmen in einer Reihe von Branchen. Diese spezielle Sammlung von Cyberspionage war so bedeutend, dass sie aufgrund des Ausmaßes der Operation, der Bandbreite der betroffenen Organisationen, der Art der gesammelten Informationen und – was am wichtigsten ist – der Art des ursprünglichen Verstoßes sowohl in den Sicherheits- als auch in den Wirtschaftsmedien weiterhin Aufmerksamkeit erregte. Cloud Hopper erhielt seinen mittlerweile bekannten Namen aufgrund der Kompromittierung der Managed Service Provider (MSP) der Opfer durch die Angreifer, die diese nutzten, um von der "Cloud" der MSPs in die Netzwerke der Zielunternehmen zu "hüpfen".

Es gab viele hervorragende Zusammenfassungen und detaillierte Beschreibungen des Verstoßes, wie z. B. den ausführlichen Operation Cloud Hopper-Bericht von PWC, der eine tiefgreifende Analyse des Verstoßes bietet. Anstatt hier die gleichen Informationen zu wiederholen, werden wir Cloud Hopper aus der Perspektive eines Zero-Trust-Frameworks betrachten und insbesondere untersuchen, wie die Einführung eines solchen Sicherheitsansatzes die Effektivität der Angreifer hätte verringern können.

Forrester Research führte Zero Trust erstmals vor fast einem Jahrzehnt ein und befürwortete eine Abkehr von der Sicherheitshaltung "Vertrauen, aber überprüfen" hin zu einem "Nichts vertrauen, alles überwachen, geringste Privilegien"-Ansatz. Diese Verlagerung von der Abhängigkeit von einem großen Perimeter zum Schutz einer Gruppe von vielen Assets hin zu einem Perimeter, bei dem jedes Asset als Ziel betrachtet wird, zielt darauf ab, das inhärente Vertrauen zu beseitigen, das Unternehmen anfälliger für Angriffe macht.

Das Zero-Trust-Framework erstreckt sich über sieben Säulen, die in Kombination eine umfassende Strategie zur Sicherung des Unternehmens bieten. Es bietet auch einen nützlichen Ausgangspunkt, um zu analysieren, warum ein Angriff erfolgreich war, und um zu verstehen, welche Säule hätte helfen können, den Angriff zu vereiteln, wenn er stärker gewesen wäre. Wie sich zeigen wird, war Cloud Hopper aufgrund eines übermäßigen Vertrauens sehr erfolgreich, das die Angreifer in einem perfekten Sturm von Kontrollmängeln ausnutzen konnten.

Ausgangspunkt war, wie bei vielen Datenschutzverletzungen, die Kompromittierung des Personalbereichs. Bei hochgradig gezielten Spear -Phishing-Angriffen wurden Dokumente verwendet, die speziell auf den jeweiligen Sektor des angegriffenen Unternehmens zugeschnitten waren. und die berufliche Funktion der Person, die die Nachricht empfängt. Dies trug dazu bei, dass die schädliche Nutzlast ausgeführt wurde, wodurch der Angreifer Zugang zum Netzwerk des Managed Service Providers erlangen und die Zugangsdaten eines Opfers erhalten konnte. Wenn die Opfer zudem über administrative Zugriffsrechte verfügten, wurde die „Zugangshürde“ weiter gesenkt. Aus der Perspektive des Zero Trust sollte der privilegierte Zugriff „Just-in-Time“ (nur für den benötigten Zeitraum und wieder entfernt, sobald der Zugriff nicht mehr benötigt wird) auf der Grundlage eines genehmigten Geschäftsbedarfs von einem autorisierten System bereitgestellt werden.

Die nächste Säule, die zusammenbrach, war das Netzwerk. Die Schadsoftware führte eine Aufklärung des Netzwerks der Organisation durch, kartierte wichtige Ressourcen, etablierte dauerhafte Zugriffspunkte und ermittelte, wie sie ihr beabsichtigtes Ziel am effizientesten erreichen konnte. Im Fall von Cloud Hopper bedeutete dies, einen Pfad vom ersten kompromittierten Host (oft als „Brückenkopf“ bezeichnet) im MSP-Netzwerk bis zum endgültigen Ziel in der Umgebung des Kunden herzustellen. Ein weiteres wichtiges Netzwerkelement war die Fähigkeit der Malware, über ihre Command-and-Control-Umgebung (CNC oder C2) im Internet Informationen zu senden und Anweisungen zu empfangen. Diese beiden Phasen – Aufklärung durch Netzwerkdurchquerung und Call-Home-Fähigkeiten – werden getrennt betrachtet, da sie unterschiedliche Arten von Fehlern aufzeigen, die in den Netzwerksicherheitsprinzipien des Zero-Trust-Frameworks behandelt werden.

Die Malware hing stark davon ab, mit ihrer CNC-Infrastruktur zu kommunizieren, und zwar in dem Maße, dass sie sich selbst vollständig löschen würde, wenn dieser Zugriff fehlschlägt. Desktop-Umgebungen, in denen Malware am häufigsten verbreitet wird, verwenden häufig Web-Proxys für den Zugriff auf das Internet – da der Internetzugang für die Produktivität unerlässlich ist. Unternehmen sollten bei der Verwaltung dieses Zugriffs sehr vorsichtig sein und sicherstellen, dass nur autorisierte, authentifizierte Benutzer Zugriff auf den Proxy haben und dass dieser Zugriff auf dem Mindestniveau erfolgt, damit die Benutzer ihre Geschäftsfunktionen wie gewohnt ausführen können. Obwohl diese Kontrollen ordnungsgemäß implementiert sind, müssen Angreifer nur Domains registrieren und sie in die legitime Kategorie des Webfilteranbieters einordnen lassen, um diese Kontrollen auf Proxy-Ebene zu umgehen. In solchen Fällen sollte die Protokollierung und Überwachung aller Webzugriffe obligatorisch sein und an einige Verhaltensanalysen der Endnutzer gebunden sein, damit Abweichungen von der normalen Aktivität identifiziert und untersucht werden können.

Der eigentliche Schlüssel zum Erfolg von Cloud Hopper war die Fähigkeit der Angreifer, sich seitlich zu bewegen.

Der eigentliche Schlüssel zum Erfolg von Cloud Hopper war jedoch die Möglichkeit für die Angreifer, sich innerhalb jedes MSP-Netzwerks lateral zu bewegen , ohne dass es Einschränkungen gab. Auf diese Weise konnten sie schnell eine Karte der verfügbaren Hosts, Prozesse und Ports erstellen, die ausgenutzt werden konnten, und bestimmen, welcher für die nächste Phase des Angriffs am besten geeignet war. Um eine militärische Formulierung zu verwenden, wird dies von Cyber-Profis oft als "Insel-Hopping"-Kampagne bezeichnet. Das erfolgreiche Sammeln privilegierter Benutzeranmeldeinformationen und der relativ uneingeschränkte Netzwerkzugriff ermöglichten es den Angreifern, auf legitim erscheinende Weise auf Systeme zuzugreifen, indem sie gängige Verwaltungsprotokolle verwendeten, so dass sie unter dem Radar fliegen konnten. Die relativ einfache Netzwerkaufklärung ermöglichte die einfache Identifizierung von Jump-Hosts, die dem MSP Zugang zum Netzwerk jedes Clients gewährten, von wo aus die Angreifer auf die wirklichen Ziele ihrer Bemühungen zugreifen konnten.

Dies ist eine Verschmelzung des Versagens der Zero-Trust-Säulen für Geräte, Netzwerke und Workloads. Flache Netzwerke – Netzwerke mit geringer oder gar keiner Segmentierung – sind ein Spielfeld für den Angreifer, und diese Situation bildete keine Ausnahme. Das Fehlen einer adäquaten Segmentierung oder Überwachung des internen Netzwerks des Managed Service Providers ermöglichte es Angreifern, sich mühelos und unbemerkt zu bewegen. Durch die Segmentierung wäre es den Angreifern unmöglich gewesen, das Netzwerk zu kartieren, offene Pfade zu identifizieren oder sich zu bewegen, es sei denn, dies wäre durch Richtlinien ausdrücklich gestattet. Die Transparenz des gesamten Netzwerkverkehrs hätte Einblicke in die Bewegungen des Angreifers ermöglicht und möglicherweise frühzeitig eine Untersuchung ausgelöst, um den Angriff zu stoppen, bevor er seine Zieldaten erreichte. Wichtige Ressourcen wie Jump-Server (auch Bastion-Hosts genannt) hatten Verbindungen sowohl zum MSP- als auch zum Kundennetzwerk, waren aber weder hinsichtlich des Netzwerk- noch des Benutzerzugriffs ausreichend gesichert. Die Einführung einer Form von Privileged Access Management für den gesamten Zugriff auf Jump-Server hätte die Möglichkeiten der Angreifer, in die Client-Netzwerke einzudringen, stark eingeschränkt.

Der Cloud-Hopper-Angriff verdeutlicht das Versagen mehrerer wichtiger Sicherheitskontrollen und unterstreicht die Notwendigkeit eines anderen Sicherheitsansatzes – einen Ansatz, bei dem Unternehmen davon ausgehen, dass die Wahrscheinlichkeit einer Sicherheitsverletzung bei 100 % liegt, und ihre Umgebungen so gestalten, dass sie in der Lage sind, eine Sicherheitsverletzung schnell zu erkennen und ihre Auswirkungen zu minimieren. Angesichts der Art und Weise, wie fortgeschrittene Angreifer vorgehen, ist der klügste Ansatz einer, bei dem von Grund auf alles auf dem Prinzip der geringsten Privilegien aufbaut – einem Zero-Trust-Ansatz für die Sicherheit.