Alcuni ricercatori hanno osservato gli hacker di ScarletEel, che si infiltravano in Amazon Web Services (AWS) per rubare le credenziali e le proprietà intellettuale, per installare software di crypto mining, per eseguire attacchi DDoS (Distributed Denial-of-Service) e altro ancora.

L’hacker è stato palesato per la prima volta in un post sul blog di febbraio della società di sicurezza cloud Sysdig. ScarletEel si è rivelato esperto con gli strumenti AWS, tanto che si inserisce nell’ambiente cloud e utilizza la funzionalità AWS nativa per spostarsi con facilità, eseguendo un doppio smacco: installare software di crypto mining e rubare anche le proprietà intellettuali.

ScarletEel continua inoltre a perfezionare le sue tattiche, secondo l’ultima analisi dell’azienda, riesce ad eludere i meccanismi di rilevamento della sicurezza del cloud e a raggiungee il motore di calcolo AWS Fargate. Ha inoltre ampliato il suo arsenale aggiungendo DDoS-as-a-service al suo elenco di tecniche di intrusione e sfruttamento.

“Quindi, rispetto alla loro attività precedente, vediamo che sono più consapevoli dell’ambiente della vittima e hanno migliorato le loro capacità in termini di dove andare, come sfruttarlo e come eludere le misure di sicurezza difensive che i clienti hanno già iniziato ad implementare”, afferma Alessandro Brucato, ingegnere di ricerca sulle minacce per Sysdig.

ScarletEel ha iniziato la sua ultima intrusione sfruttando i contenitori di notebook Jupyter in un cluster Kubernetes, quindi gli hacker hanno eseguito degli script per cercare le credenziali AWS che avrebbero potuto inviare al loro server di comand-and-controll (C2). In sostanza invece di utilizzare gli strumenti della riga di comando, gli script utilizzavano i comandi incorporati della shell. “Questo è un modo meno visibile per esfiltrare i dati poiché curl e wget, che molti strumenti monitorano, non vengono utilizzati, “, hanno sottolineato i ricercatori.

ScarletEel ha anche utilizzato Pacu, uno strumento open source per AWS, per scoprire una opportunità di escalation dei privilegi nell’account della vittima. Parallelamente ha utilizzato Peirates, uno strumento equivalente per esplorare e sfruttare l’ambiente Kubernetes della vittima.

Per mascherare la loro attività, gli hacker hanno escogitato un ingegnoso meccanismo di difesa.

“Invece di trattare direttamente con AWS, utilizzavano un server russo che supporta il protocollo AWS“, spiega Michael Clark, direttore della ricerca sulle minacce per Sysdig. L’attacco Living off the land con comandi AWS nativi maschera la malvagità dell’attività e contemporaneamente non viene registrato nei log AWS CloudTrail della vittima, perché il tutto è successo sul sito russo.

Come scritto da Sysdig a febbraio, gli obiettivi principali di ScarletEel sono rubare software proprietario ed eseguire cryptojacking.

Recentemente gli hacker hanno abbandonato 42 istanze di crypto miner fatte tramite un account compromesso, il fatto ha creato tanto rumore da essere rapidamente rilevati e spenti, ma gli aggressori non si sono spaventati e anche dopo essere stati scoperti, hanno tentato ugualmente di utilizzare altri account nuovi e compromessi ma non ci sono riusciti a causa della mancanza di privilegi.

I ricercatori hanno stimato che, se l’attacco fosse continuato senza sosta, avrebbe reso circa $ 4.000 al giorno in ricompense per il cryptomining.

Oltre al furto di IP e al cryptojacking, il gruppo ha anche installato un malware appartenente alla famiglia di botnet Mirai (Mirai è una delle botnet più famose al mondo, in circolazione dalla metà degli anni 2010) chiamata “Pandora”. I ricercatori hanno ipotizzato che gli hacker avrebbero utilizzato dei dispositivi infetti da Pandora come parte separata e più ampia di una campagna DDoS-as-a-service.

La sicurezza cloud “ordinaria” può non essere all’altezza di un utente malintenzionato tanto a proprio agio in questi ambienti, ad esempio, nella sua attività più recente, le potenzialità incrementate di ScarletEel gli hanno permesso di raggiungere Fargate, la piattaforma di AWS per l’esecuzione di serverless container.

Fargate è un terreno in gran parte inesplorato sia per gli hacker che per chi deve difendersi poiché, spiega Clark, “spesso non è pubblicamente accessibile. Viene utilizzato per molti scopi interni e di back-end, e ciò significa che lnon viene considerato davvero come parte della loro superficie di attacco.”

Aggiunge: “Ma come abbiamo visto con questo attacco, sono finiti sul sistema Fargate e ne hanno preso le credenziali. Quindi sono decisamente consapevoli delle opportunità che ci sono in quello spazio, ed è solo una questione di tempo prima che ci riescano. ”

Per proteggersi contro un’entità come ScarletEel, ha spiegato Brucato, “devi prima implementare alcune misure per impedire agli hacker di entrare nel tuo ambiente. Ma se riescono a farlo comunque – perché ora stanno diventando sempre più sofisticati – bisogna anche implementare un’efficace sicurezza di runtime.” Clark sottolinea il valore di un’efficace gestione della posizione di sicurezza del cloud (CSPM) e della gestione dei diritti dell’infrastruttura cloud (CIEM) .

«Non basta proteggersi in un solo modo perché gli aggressori oggi sono davvero consapevoli», conclude Brucato. “Possono sfruttare qualsiasi altro dettaglio.”