Rapid7 brengt aanvallen op de cloud in kaart met honeypots
Cybercriminelen scannen actief de cloud op beveiligingsproblemen en proberen cloudomgevingen actief aan te vallen. Dit blijkt uit een onderzoek waarbij honeypots zijn opgezet op de zes grootste clouds ter wereld.
Het onderzoek is uitgevoerd door Rapid7, dat het onderzoek ‘Project Heisenberg Cloud’ noemt. Het bedrijf heeft honeypots geïnstalleerd op de clouds van Amazon Web Services, Microsoft Azure, Digital Ocean, Rackspace, Google Cloud Platform en IBM SoftLayer. Deze honeypots zijn bedoeld om cybercriminelen te verleiden deze aan te vallen. Dit maakt het mogelijk aanvallen die worden uitgevoerd op de cloud in kaart te brengen.
Raamwerk
Het bedrijf heeft een raamwerk ontwikkeld waarmee de honeypots kunnen worden aangestuurd en beheerd. “Het gaat om op maat gemaakte door Rapid7 ontwikkelde laag- en medium-interactie homepots die binnen het raamwerk worden gebruikt, in combinatie met open source varianten als cowrie”, legt Bob Rudis, Chief Data Scientist bij Rapid7, uit aan eWEEK. “Het raamwerk maakt het mogelijk ieder soort honeypot uit te rollen naar iedere Heisenberg node. Onder iedere agent is een volledig PCAP monitoring raamwerk aanwezig, dat met het oog op portabiliteit is geschreven in de Go programmeertaal.”
Vooraf aan het onderzoek heeft het onderzoeksteam van Rapid7 de hypothese opgesteld dat het soort aanvallen op verschillende cloud providers willekeurig verdeeld zouden zijn. Dit blijkt echter niet het geval te zijn. Zo blijkt bij aanvallen op het Google Cloud Platform opvallend vaak poort 443 (HTTPS) te worden gescand. Rubis merkt overigens wel op dat door de wijze waarop Google capaciteit toevoegt aan de cloud omgeving van klanten in sommige gevallen subnets die voorheen waren gelabeld als ‘Google’ worden herlabeld als ‘Google Cloud’. Rubis stelt dat aanvallers daardoor mogelijk poort 443 scannen in een poging de Google IPv4 space onderzoeken en zich hiermee niet zo zeer richten op de op consumenten gerichte cloud van Google.
Mirai malware
In het onderzoek is ook gekeken naar de Mirai malware, waarvan de broncode begin oktober is vrijgegeven. Deze malware kan worden gebruikt om Internet of Things (IoT) apparaten te bemetten en deze onderdeel te maken van een botnet. Zo’n botnet werd ingezet bij de recente grootschalige DDoS-aanval op DNS-provider Dyn.
100.000 unieke IPv4 adressen met Mirai kenmerken
“We zien Mirai scans in iedere regio en bij iedere cloud provider”, zegt Rudis. In totaal zijn sinds 8 oktober zo’n 100.000 unieke IPv4 adressen ontdekt die kenmerken vertonen van de Mirai malware. Dit betekent overigens niet dat het Mirai botnet bestaat uit 100.000 unieke apparaten, aangezien Rapid7 alleen de zes grootste cloud providers heeft onderzocht. Rapid7 benadrukt dat al langer bekend is dat de Mirai malware zich ook op de cloud richt, maar dat het bedrijf niet had verwacht deze hoeveelheden besmettingen aan te treffen.
Meer over
Lees ook
Acht stappen voor slim en veilig gebruik van de cloud
Bijna alle bedrijven gebruiken in minder of meerdere maten cloudoplossingen. Dat moet ook wel, want wil je concurrerend blijven in deze snel veranderende wereld, heb je twee dingen nodig: snelheid en flexibiliteit. En dat is precies wat cloudinfrastructuren en -diensten bieden.
Qualys CloudView voegt beveiliging toe voor Infrastructure as Code
Qualys maakt vandaag bekend dat het scannen van Infrastructure as Code (IaC) toevoegt aan zijn CloudView-applicatie. Met deze oplossing kunnen misconfiguraties al vroeg in de ontwikkelingscyclus ontdekt en verholpen worden. Dit voorkomt risico's in de productieomgeving.
Een mensgerichte aanpak is cruciaal voor cloudbeveiliging
Gebruikers, apps en data bevinden zich tegenwoordig vaak niet meer achter de veilige bedrijfsomgeving. Dit komt vooral doordat steeds meer mensen op afstand werken sinds de coronapandemie. Werknemers delen gevoelige data zonder toezicht. En cybercriminelen kunnen cloudaccounts van gebruikers compromitteren om geld en waardevolle data te stelen.