Rapid7 brengt aanvallen op de cloud in kaart met honeypots

Cybercriminelen scannen actief de cloud op beveiligingsproblemen en proberen cloudomgevingen actief aan te vallen. Dit blijkt uit een onderzoek waarbij honeypots zijn opgezet op de zes grootste clouds ter wereld.

Het onderzoek is uitgevoerd door Rapid7, dat het onderzoek ‘Project Heisenberg Cloud’ noemt. Het bedrijf heeft honeypots geïnstalleerd op de clouds van Amazon Web Services, Microsoft Azure, Digital Ocean, Rackspace, Google Cloud Platform en IBM SoftLayer. Deze honeypots zijn bedoeld om cybercriminelen te verleiden deze aan te vallen. Dit maakt het mogelijk aanvallen die worden uitgevoerd op de cloud in kaart te brengen.

Raamwerk

Het bedrijf heeft een raamwerk ontwikkeld waarmee de honeypots kunnen worden aangestuurd en beheerd. “Het gaat om op maat gemaakte door Rapid7 ontwikkelde laag- en medium-interactie homepots die binnen het raamwerk worden gebruikt, in combinatie met open source varianten als cowrie”, legt Bob Rudis, Chief Data Scientist bij Rapid7, uit aan eWEEK. “Het raamwerk maakt het mogelijk ieder soort honeypot uit te rollen naar iedere Heisenberg node. Onder iedere agent is een volledig PCAP monitoring raamwerk aanwezig, dat met het oog op portabiliteit is geschreven in de Go programmeertaal.”

Vooraf aan het onderzoek heeft het onderzoeksteam van Rapid7 de hypothese opgesteld dat het soort aanvallen op verschillende cloud providers willekeurig verdeeld zouden zijn. Dit blijkt echter niet het geval te zijn. Zo blijkt bij aanvallen op het Google Cloud Platform opvallend vaak poort 443 (HTTPS) te worden gescand. Rubis merkt overigens wel op dat door de wijze waarop Google capaciteit toevoegt aan de cloud omgeving van klanten in sommige gevallen subnets die voorheen waren gelabeld als ‘Google’ worden herlabeld als ‘Google Cloud’. Rubis stelt dat aanvallers daardoor mogelijk poort 443 scannen in een poging de Google IPv4 space onderzoeken en zich hiermee niet zo zeer richten op de op consumenten gerichte cloud van Google.

Mirai malware

In het onderzoek is ook gekeken naar de Mirai malware, waarvan de broncode begin oktober is vrijgegeven. Deze malware kan worden gebruikt om Internet of Things (IoT) apparaten te bemetten en deze onderdeel te maken van een botnet. Zo’n botnet werd ingezet bij de recente grootschalige DDoS-aanval op DNS-provider Dyn.

100.000 unieke IPv4 adressen met Mirai kenmerken

“We zien Mirai scans in iedere regio en bij iedere cloud provider”, zegt Rudis. In totaal zijn sinds 8 oktober zo’n 100.000 unieke IPv4 adressen ontdekt die kenmerken vertonen van de Mirai malware. Dit betekent overigens niet dat het Mirai botnet bestaat uit 100.000 unieke apparaten, aangezien Rapid7 alleen de zes grootste cloud providers heeft onderzocht. Rapid7 benadrukt dat al langer bekend is dat de Mirai malware zich ook op de cloud richt, maar dat het bedrijf niet had verwacht deze hoeveelheden besmettingen aan te treffen.