עוד ועוד ארגונים ממשיכים לאמץ את טכנולוגיית הענן, ולעתים קרובות הם מתעלמים מאחד מסיכוני האבטחה הבסיסיים ביותר: גניבת פרטי גישה לענן. אמנם אבטחת הענן עצמו משפיעה על יכולתם של ארגונים לפעול, אבל גם גניבה ושימוש לרעה בפרטי גישה לענן הפכו כה נפוצים עד שהם מאיימים לתדלק את הגל הבא של מתקפות סייבר מבוססות ענן, וזה איום שארגונים בכל הגדלים חייבים לקחת ברצינות.
הבעיה הגוברת של פרטי גישה גנובים
פרטי גישה לענן (Credentials), כגון מפתחות API, טוקנים סודיים ואישורי גישה, הם מרכיבים קריטיים בתהליך האימות המעניקים גישה למשאבים ולשירותים מבוססי ענן. אישורים אלה, אם נחשפים, מספקים לפושעי סייבר נתיב ישיר לתשתית הענן של הארגון, מה שמוביל לרוב לפרצות נתונים משמעותיות, הפסדים כספיים והפרעות נרחבות.
בוא נדגיש את זה שוב. על מנת לגשת לנתונים שהארגון שומר בענן לא צריך “לפרוץ” את תשתית הענן אלא “רק” להשיג את פרטי הגישה, וזה קל בהרבה. עד כמה זה יותר קל? אירועי אבטחה אחרונים מדגישים את הקלות שבה יכולים תוקפים לגנוב אישורי ענן כדי למנף אותם למטרות זדוניות. האקרים גנבו לאחרונה יותר מ-15,000 פרטי גישה ענן על ידי ניצול קבצי תצורה חשופים של Git . לעתים קרובות קבצים אלה נדחפים ללא כוונה למאגרים ציבוריים, המכילים מידע רגיש כמו מפתחות API, טוקני גישה ואישורים אחרים. טעות פשוטה זו יכולה לספק לתוקפים גישה נוחה לסביבות ענן ללא צורך בשיטות פריצה מתוחכמות.
בנוסף לקבצי Git חשופים, האקרים הפנו יותר ויותר את תשומת לבם לחבילות תוכנה זדוניות בתור וקטור התקפה. תוקפים הפיצו חבילות Python זדוניות שנועדו לגנוב פרטי גישה ל- AWS ממערכות פגיעות. חבילות אלו מתחזות לרוב כספריות שימושיות, אך לאחר התקנתן, הן מחלצות בשקט אישורים רגישים ממכונות המפתחים. שיטת התקפה זו מנצלת את האמון שמפתחים נותנים במאגרי קוד פתוח ואת הנוחות של מנהלי חבילות כמו PyPI.
הקלות בהשגת פרטי גישה לענן באמצעות שיטות אלו ואחרות הובילה לעלייה בכנופיות פשעי סייבר המכוונות לסביבות ענן. כנופיות פושעי סייבר כגון Nemesis או ShinyHunters סרקו את האינטרנט בחיפוש אחר פרטי גישה למערכות הענן של AWS, מוכרות אותם בפורומים מחתרתיים, או משתמשות בהם עבור התקפות כופר, גניבת נתונים ופעילויות זדוניות אחרות- כך חשפו לאחרונה חוקרי האבטחה נועם רותם ורן לוקר.
במקרים רבים, התוקפים הללו מסוגלים לעקוף את אמצעי האבטחה המסורתיים, שכן האישורים [CB1] הגנובים מעניקים להם גישה לגיטימית לשירותי ענן, מה שמקשה בהרבה על זיהוי הפעילות שלהם.
כיצד מנוצלים אישורי ענן גנובים
ברגע שפושעי סייבר מקבלים פרטי גישה גנובים לענן, פוטנציאל הנזק הוא עצום. תוקפים יכולים להשתמש באישורים האלה כדי:
- לגנוב נתונים רגישים: פלטפורמות ענן מאחסנות כמויות אדירות של נתונים רגישים, כולל מידע לקוחות, נתונים עסקיים קנייניים וקניין רוחני. על ידי השגת גישה לסביבות ענן, התוקפים יכולים לסנן נתונים אלה למכירה בשוק השחור או להשתמש בהם לסחיטה.
- לשגר מתקפות כופרה: עם גישה לתשתית ענן, התוקפים יכולים לפרוס תוכנות כופר, להצפין קבצים ולדרוש כופר מארגונים בתמורה למפתחות פענוח. הדבר עלול לגרום להשבתה משמעותית, להפרעות תפעוליות ולהפסד כספי.
- ליצור חשבונות משתמש חדשים או הרחבת הרשאות: לאחר שחדרו למערכת, תוקפים יכולים ליצור חשבונות משתמש חדשים עם הרשאות גבוהות, לתת להם גישה לטווח ארוך גם אם פרטי גישה הגנובים יתגלו בסופו של דבר ויבוטלו.
- כריית מטבעות קריפטוגרפיים: פושעי סייבר יכולים גם להשתמש באישורי ענן כדי להפעיל פעולות כריית מטבעות קריפטוגרפיים לא מורשים. זה מאפשר להם להשתמש במשאבי הענן של הארגון לצורך כרייה, מה שעלול לגרום לעלויות גבוהות עבור הארגון שנפגע.
- השקת מתקפות על ארגונים אחרים: עם גישה לשירותי ענן, תוקפים יכולים גם לעבור לתקיפה של ארגונים אחרים. זה עשוי להיות כרוך בגניבה או ניצול לרעה של נתונים המאוחסנים בסביבות ענן לצורך קמפיינים דיוגים, מילוי אישורים או סוגים אחרים של התקפות הנדסה חברתית.
מסקנה: איום הולך וגובר
גניבת פרטי גישה לענן היא איום מתגבר שארגונים חייבים לקחת ברצינות. ככל ששירותים מבוססי ענן ממשיכים לצמוח בפופולריות ובתחכום, פושעי סייבר מתמקדים יותר ויותר בסביבות ענן כדי לנצל אישורים גנובים למגוון רחב של מטרות זדוניות. בין אם באמצעות קבצי Git חשופים, חבילות תוכנה זדוניות או אמצעים אחרים, הסיכונים הנשקפים מגניבת אישורים גדולים מכדי להתעלם מהם.
ארגונים חייבים לפעול כעת כדי להקטין ככל הניתן את זליגת אישורי הענן מחד, ולשפר את הגנות האבטחה בענן שלהם מאידך. שימוש במערכות הגנה מבוססות AI יוכל לאתר שימוש לרעה באישורים גנובים ולהתריע על כך לפני שייגרם נזק נוסף לארגון.
