Google vient de publier son premier rapport, Threat Horizons, sur les tendances de la cybercriminalité. Ses équipes ont observé le trafic sur son cloud et leur verdict est sévère : « de nombreuses attaques réussies sont dues à une mauvaise hygiène et à un manque de mise en œuvre des contrôles de base ».
Ce n’est pas un énième rapport sur l’augmentation des attaques par rançongiciels, mais une fine observation d’un acteur très bien placé, et outillé, pour cela. En effet, selon un article de blog de Google, « les informations fournies sont basées sur des observations de renseignements sur les menaces provenant du groupe d’analyse des menaces Threat Analysis Group, de Google Cloud Threat Intelligence for Chronicle, de Trust and Safety, et d’autres équipes internes ».
Avec une telle équipe et un champ d’observation aussi vaste, donc représentatif, que le cloud de Google, les conclusions du rapport donnent une idée précise de l’état de la menace. Le rapport se veut un outil au service des entreprises dans leur lutte contre le cybercrime. Selon Google, il synthétise donc les renseignements exploitables qui permettent aux organisations de se protéger contre des menaces en constante évolution. « Dans ces rapports de renseignements sur les menaces et dans les rapports futurs, Google fournira une analyse de l’horizon des menaces, un suivi des tendances et des annonces d’alerte précoce sur les menaces émergentes nécessitant une action immédiate ».
Asservir des ressources cloud pour… se connecter à YouTube…
Bien que la menace soit diverse et peut exploiter n’importe quelle faiblesse applicative, matérielle ou d’infrastructure, le rapport commence par un constat amer. « Alors que les clients du cloud continuent de faire face à une variété de menaces sur les applications et les infrastructures, de nombreuses attaques réussies sont dues à une mauvaise hygiène et à un manque de mise en œuvre de contrôles de base », notent les rédacteurs. En somme, le risque réside dans la négligence des « gestes barrière » et la mise en place de contrôles aux entrées.
Parmi les tendances évoquées et qui dénotent par rapport aux compromissions rapportées ces derniers mois, les équipes de Google notent qu’un groupe d’attaquants a été observé en train de tromper des ressources cloud pour générer du trafic vers YouTube. On comprend aisément pourquoi. Les attaquants ont utilisé diverses approches pour obtenir des crédits cloud gratuits, notamment en utilisant des projets d’essai gratuits, en abusant des crédits de démarrage avec de fausses entreprises et en rejoignant la communauté des développeurs Google pour des projets gratuits.
… et extraire des cryptomonnaies
L’utilisation des ressources du cloud compromises pour le minage de cryptomonnaies fait également partie des tendances observées. Des acteurs malveillants ont été observés en train d’extraire des cryptomonnaies dans des instances de cloud computing compromises. Sur les 50 instances GCP compromises, 86 % des instances ont été utilisées pour effectuer du minage de cryptomonnaies. Une activité lucrative particulièrement gourmande en ressources, qui consomme généralement des ressources CPU/GPU ou, dans le cas du minage Chia, de l’espace de stockage.
En outre, 10 % des instances cloud compromises ont été utilisées pour effectuer des analyses d’autres ressources accessibles au public sur Internet afin d’identifier les systèmes vulnérables, et 8 % des instances ont été utilisées pour attaquer d’autres cibles. Dans certains cas, plusieurs actions malveillantes ont été réalisées à partir d’une seule instance compromise. Bien que le vol de données n’ait pas semblé être l’objectif de ces compromissions, le risque reste élevé.
Dans près de 75 % des cas, les acteurs malveillants ont accédé aux instances Google Cloud en tirant parti des mauvaises pratiques de sécurité des clients ou de logiciels tiers vulnérables. Par exemple, des instances aux mots de passe faibles ou inexistants ont pu être forcées après avoir été scannées et soumises à une attaque par force brute. En outre, 26 % des instances compromises ont été attribuées à des vulnérabilités dans des logiciels tiers, qui ont été installés par le propriétaire.
« Compte tenu de ces observations spécifiques et des menaces générales, les organisations qui mettent l’accent sur la mise en œuvre sécurisée, la surveillance et l’assurance permanente réussiront mieux à atténuer ces menaces ou, à tout le moins, à réduire leur impact global », conseillent les rédacteurs du rapport.