Cloud Hopper: uma perspectiva de confiança zero

Cloud Hopper, a campanha de hackers que se suspeita de ter sido orquestrada por agentes chineses patrocinados pelo governo (carinhosamente conhecida como " APT10”), ocorreu de 2014 até pelo menos 2017 e impactou várias empresas ocidentais em diversos setores. Essa coleção específica de espionagem cibernética foi tão significativa que continuou a atrair atenção tanto na mídia de segurança quanto na mídia empresarial devido à escala da operação, à variedade de organizações alvo, ao tipo de informação coletada e, o mais importante, à própria natureza da violação inicial. O Cloud Hopper alcançou seu nome agora conhecido devido ao comprometimento dos invasores com os provedores de serviços gerenciados (MSP) das vítimas, aproveitando-os para " hop " da nuvem " " dos MSPs para as redes das empresas-alvo.

Existem muitos resumos excelentes e descrições detalhadas da violação, como o relatório detalhado da Operação Cloud Hopper da PWC, que fornece uma análise profunda da violação. Em vez de repetir as mesmas informações aqui, analisaremos o Cloud Hopper do ponto de vista de uma estrutura Zero Trust e, especificamente, como a adoção desse tipo de abordagem de segurança poderia ter reduzido a eficácia dos atacantes.

A Forrester Research apresentou o Zero Trust pela primeira vez há quase uma década, defendendo uma mudança da atitude de segurança “confie, mas verifique” para uma abordagem de “não confie em nada, monitore tudo, tenha menos privilégios”. Essa mudança, de depender de um grande perímetro para proteger um grupo de muitos ativos para um em que cada ativo seja considerado um alvo, visa eliminar a confiança inerente que torna as empresas mais vulneráveis a ataques.

A estrutura Zero Trust se estende por sete pilares que, quando combinados, fornecem uma estratégia abrangente para proteger a empresa. Também fornece um ponto de partida útil para analisar por que um ataque foi bem-sucedido e entender qual pilar poderia ter ajudado a impedir o ataque se fosse mais forte. Como ficará claro, o Cloud Hopper teve muito sucesso devido aos níveis excessivos de confiança, que os atacantes conseguiram explorar em uma tempestade perfeita de deficiências de controle.

O ponto de partida, como acontece com muitas violações de dados, foi o comprometimento do pilar Pessoas. Ataques de spear phishing altamente direcionados utilizaram documentos personalizados para o setor da empresa visada. e a função profissional da pessoa que recebe a mensagem. Isso ajudou a garantir que a carga maliciosa fosse executada, permitindo que o invasor ganhasse acesso à rede do MSP e obtivesse as credenciais de uma vítima. Além disso, se as vítimas tivessem acesso administrativo, a "barreira de entrada" seria ainda mais reduzida. Na perspectiva de Zero Trust , o acesso privilegiado deve ser concedido "Just-In-Time" (apenas pelo período necessário e removido assim que o acesso não for mais necessário), com base em uma necessidade comercial aprovada por um sistema autorizado.

O próximo pilar a cair foi a Rede. O malware realizou um reconhecimento da rede da organização, mapeando ativos importantes, estabelecendo pontos de acesso persistentes e determinando a maneira mais eficiente de atingir seu alvo pretendido. No caso do Cloud Hopper, isso significava traçar um caminho desde o host comprometido inicial (frequentemente chamado de "ponto de partida") na rede do MSP até o alvo final no ambiente do cliente. Outro elemento chave da rede era a capacidade do malware de enviar informações e receber instruções através de seu ambiente de Comando e Controle (CNC ou C2) na internet. Estas duas fases – reconhecimento através da análise da rede e capacidades de comunicação com servidores locais – serão analisadas separadamente, uma vez que destacam tipos distintos de falhas abordadas nos princípios de segurança de rede da estrutura Zero Trust.

Em primeiro lugar, o malware dependia muito da capacidade de se comunicar com sua infraestrutura CNC, a ponto de se excluir completamente se esse acesso falhasse. Os ambientes de desktop, onde o malware é mais comumente entregue, geralmente usam proxies da Web para acessar a Internet, já que o acesso à Internet é essencial para a produtividade. As organizações devem tomar muito cuidado na forma como esse acesso é gerenciado, garantindo que somente usuários autorizados e autenticados tenham acesso ao proxy e que esse acesso esteja no nível mínimo para que os usuários realizem suas funções comerciais normalmente. No entanto, apesar desses controles serem implementados adequadamente, os invasores precisam apenas registrar domínios e colocá-los na categoria legítima do provedor de filtragem da web para contornar esses controles de nível de proxy. Nesses casos, o registro e o monitoramento de todo o acesso à web devem ser obrigatórios e vinculados a algumas análises comportamentais do usuário final, de forma que os desvios da atividade normal possam ser identificados e investigados.

A verdadeira chave para o sucesso do Cloud Hopper foi a capacidade dos atacantes de se moverem lateralmente.

Mas a verdadeira chave para o sucesso do Cloud Hopper foi a capacidade dos atacantes de se moverem lateralmente dentro de cada rede MSP, com poucas restrições. Isso permitiu que eles criassem rapidamente um mapa dos hosts, processos e portas disponíveis que poderiam ser explorados e determinassem quais seriam os mais adequados para serem aproveitados na próxima fase do ataque. Para usar uma frase militar, isso geralmente é descrito como uma campanha " para visitar as ilhas " por profissionais cibernéticos. A coleta bem-sucedida de credenciais privilegiadas de usuários e o acesso relativamente irrestrito à rede permitiram que os atacantes acessassem os sistemas de uma maneira que parecia legítima, usando protocolos de gerenciamento comuns, permitindo que passassem despercebidos. O reconhecimento de rede com um esforço relativamente baixo permitiu a fácil identificação de hosts de salto que forneciam ao MSP acesso à rede de cada cliente, de onde os atacantes podiam acessar os alvos reais de seus esforços.

Esse é um amálgama da falha dos pilares Zero Trust para dispositivos, redes e cargas de trabalho. Redes planas – redes com pouca ou nenhuma segmentação – são um terreno fértil para o adversário, e esta situação não foi exceção. A falta de segmentação ou monitoramento adequados na rede interna do MSP permitiu que os invasores se movessem com facilidade e sem serem detectados. A segmentação teria bloqueado a capacidade dos atacantes de mapear a rede, identificar caminhos abertos ou se movimentar, exceto nos casos explicitamente permitidos pela política. A visibilidade de todo o tráfego de rede teria fornecido informações sobre os movimentos do atacante, possivelmente desencadeando uma investigação com antecedência suficiente para interromper o ataque antes que ele atingisse os dados alvo. Ativos essenciais, como servidores de salto (também conhecidos como hosts bastion), tinham conectividade tanto com as redes do MSP quanto com as do cliente, mas não estavam adequadamente protegidos em termos de acesso à rede ou ao usuário. Impor alguma forma de gerenciamento de acesso privilegiado para todo o acesso ao servidor de salto teria limitado severamente a capacidade dos invasores de penetrar nas redes dos clientes.

O ataque Cloud Hopper destaca a falha de vários controles de segurança importantes e reforça a necessidade de uma abordagem diferente à segurança — uma abordagem em que as organizações assumem que a probabilidade de uma violação é de 100% e arquitetam seus ambientes para detectar rapidamente uma violação e minimizar seu impacto. Dada a forma como os atacantes avançados operam, a abordagem mais prudente é aquela em que, do zero, tudo é construído com base no princípio do menor privilégio — uma abordagem de segurança de confiança zero.