Sélectionner une page

Formation > Blog > Cybersécurité > Tout savoir sur l’attaque Scarleteel

Scarleteel est une attaque cybercriminelle très sophistiquée dont l’objectif est le vol de données propriétaires. Pour arriver à leur fin, les hackers se sont attaqués à un pod Kubernetes hébergé dans un compte cloud AWS.

Nous revenons en détail sur le déroulé de cette attaque. Vous découvrirez par la suite comment protéger votre infrastructure cloud des intrusions pirates.

Vous souhaitez devenir expert en développement d’applications performantes ? Notre formation React vous permettra de maitriser le développement d’applications monopage avec Redux et TypeScript.


L’équipe Ambient IT

Le procédé détaillé

1ʳᵉ étape

Le hacker exploite une application publique au sein d’un cluster Kubernetes autogéré et hébergé dans un compte cloud AWS.

Cette exploitation permet au pirate d’accéder au pod.

2ᵉ étape

Le hacker va ensuite déployer un malware effectuant deux actions :

  • L’installation du cryptomineur XMRig afin de voler les ressources du serveur à des fins de minage
  • L’exécution d’un script pour récupérer les identifiants du compte. Grâce à cela, les ressources AWS ont été énumérées

Le cryptojacking était en réalité une diversion, obtenir les données du compte AWS était la raison principale de cette attaque.

Les identifiants ont été récupérés par le biais d’un worker dans le service de métadonnées d’instance (IMDS) afin d’énumérer et de collecter des informations autorisées au niveau du cluster. En raison des permissions excessives accordées, l’attaquant a pu recenser les ressources AWS.

Le hacker a ainsi trouvé les identifiants des administrateurs définis comme variables d’environnement Lambda et poussées en texte clair sur Amazon Simple Storage Service (S3).

3ᵉ étape

Grâce aux identifiants des administrateurs, le hacker peut effectuer un mouvement latéral. Avec l’API AWS, il procède à une énumération approfondie du compte. Durant cette étape, le pirate peut :

  • Désactiver les logs CloudTrail pour ne laisser aucune trace
  • Voler des logiciels propriétaires
  • Trouver les identifiants d’un utilisateur IAM lié à un compte AWS différent en découvrant les fichiers d’état Terraform dans les buckets S3

4ᵉ étape

L’attaquant a utilisé les nouveaux identifiants du nouveau compte AWS pour se déplacer à nouveau latéralement. Mais heureusement, le hacker n’a pas été en mesure d’énumérer les ressources, puisque toutes ses requêtes API AWS ont échoué en raison d’un manque de permissions.

Les MITRE ATT&CK TTPs potentiels

Le MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) regroupe toutes les tactiques, techniques et procédures (TTP) utilisées par les hackeurs afin de compromettre un système informatique. Voici la liste des MITRE ATT&CK TTPs potentiels durant l’attaque Scarleteel :

  • TA0001 Initial Access
  • TA0002 Execution
  • TA0005 Defense Evasion
  • TA0006 Credential Access
  • TA0007 Discovery
  • TA0008 Lateral Movement
  • T1190 Exploit Public-Facing Application
  • T1569 System Services
  • T1552 Unsecured Credentials
  • T1552.005 Cloud Instance Metadata API
  • T1526 Cloud Service Discovery
  • T1528 Steal Application Access Token
  • T1082 System Information Discovery
  • T1574 Hijack Execution Flow
  • T1562 Impair Defenses
  • T1567 Exfiltration Over Web Service
  • T1570 Lateral Tool Transfer

Comment se protéger ?

La principale cause de cette attaque provient d’un manque de restriction au niveau des autorisations. En effet, les pirates ont pu voler des données grâce à des permissions trop importantes.

Pour se protéger de ce type d’offensive, il est nécessaire de bien suivre son réseau cloud grâce à un bon fonctionnement de sa télémétrie pour repérer des usages importants ou inhabituels de vos ressources.

Il est indispensable de limiter les accès, notamment en créant des accès en lecture seul pour certaines ressources cloud pour empêcher le hacker de s’introduire au sein de programmes sensibles.

Cette affaire rappelle l’importance du respect de la confiance zéro (zero trust) et du principe du moindre privilège. L’application de ces concepts réduit le risque de compromission.

N’oubliez pas également de télécharger les derniers patchs, d’appliquer la version 2 d’IMDS (pour éviter les accès compromettants) et de désactiver toutes les autorisations dont vous n’avez pas besoin ou que vous n’utilisez pas.

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.

ILS SE SONT FORMÉS CHEZ NOUS

partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp
partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp