.
Entrevista A AWS revelou o MadPot, sua ferramenta anteriormente secreta de inteligência de ameaças que, segundo um dos executivos de segurança da gigante da nuvem, frustrou espiões chineses e russos – e milhões de bots.
O enorme sistema honeypot existe desde o final da década passada e inclui dezenas de milhares de sensores de ameaças que monitoram as tentativas dos criminosos de se conectarem aos chamarizes da AWS. Esses sensores detectam mais de 100 milhões de ameaças potenciais todos os dias, e cerca de 500 mil delas acabam sendo atividades maliciosas, de acordo com a gigante da nuvem.
Embora esteja em desenvolvimento e em uso há anos, a AWS divulgou esta semana detalhes sobre o MadPot e alguns dos ataques que ele frustrou.
Isto inclui impedir que espiões chineses bisbilhotem as redes de infra-estruturas críticas dos EUA no início deste ano e contribuir para o aconselhamento do Five Eyes’ May sobre Tufão Voltuma gangue de espionagem cibernética apoiada por Pequim.
Usando dados coletados do MadPot, a Amazon conseguiu identificar uma carga útil que continha uma assinatura exclusiva e, em seguida, determinou que pertencia ao Volt Typhoon.
“Mantemos um enorme lago de dados de segurança de todas as interações anteriores” com MadPot, disse Mark Ryland, diretor do Escritório do CISO da AWS. Strong The One. Este data lake permitiu que os caçadores de ameaças identificassem outras instâncias da assinatura dos hackers chineses desde agosto de 2021.
“A história de sucesso foi ser capaz de fazer consultas em um grande conjunto de dados que remonta a vários anos, para esses tipos de indicadores sutis de identidade, algo que é único no comportamento”, disse Ryland.
A AWS ainda vê o Volt Typhoon tentando invadir as redes dos EUA e continua compartilhando essas informações com o governo.
Detectando o verme da areia
O Sandworm também foi pego pelas iscas da AWS quando tentou explorar o que pensava ser um dispositivo de segurança de rede da WatchGuard. Em 2022, a equipe de hackers, ligada à unidade de inteligência militar GRU da Rússia, partiu para uma missão onda de sequestro, comprometendo roteadores WatchGuard e ASUS para executar seu botnet Cyclops Blinks em uma tentativa de usar esses dispositivos como servidores de comando e controle (C2) para ataques futuros. Os federais derrubou a infraestrutura C2 em abril de 2022.
Usando as informações da MadPot, a AWS identificou os endereços IP e outros atributos vinculados ao Sandworm usados nas tentativas de comprometer um de seus clientes. Ryland diz que o provedor de nuvem notificou o cliente, o que mitigou a vulnerabilidade e evitou o controle do dispositivo.
Isso ilustra como o MadPot pode detectar e ajudar a prevenir ataques que normalmente não são ameaças à nuvem, de acordo com Ryland.
“Emulamos coisas como roteadores domésticos ou dispositivos de segurança que normalmente não estão na nuvem”, disse ele. “Estamos constantemente expandindo os tipos de comportamento que podemos imitar e, assim, obter maior inteligência sobre o que está acontecendo com os atores mal-intencionados”.
A AWS afirma que, nos primeiros três meses de 2023, o MadPot frustrou mais de 1,3 milhão de ataques distribuídos de negação de serviço conduzidos por botnets. E no primeiro semestre do ano, detectou quase 2.000 hosts C2 de botnets e compartilhou esses detalhes com provedores de hospedagem e registradores de domínio relevantes para derrubar a infraestrutura de controle.
“Agora temos uma capacidade muito rápida e precisa para detectar o comportamento C2 que nos permite bloquear sinais C2 na borda da nossa rede, o que tem um enorme impacto em nosso grande espaço IP”, disse Ryland. “Essa capacidade de desligá-lo na torneira, ou pelo menos quando ele entra em nossa rede, é um dos avanços mais importantes que conseguimos fazer”.
Como todos os outros que acompanham de perto o cenário de ameaças, a AWS tem visto um influxo maciço no número de tentativas de DDoS de inundação de rede. A gigante da nuvem também viu um aumento nesses ataques na camada de aplicação, de acordo com Ryland.
Durante os primeiros seis meses de 2023, a AWS trabalhou com outros provedores para encerrar as fontes de cerca de 230.000 desses eventos DDoS da Camada 7.
“Essa é uma área em que vimos um aumento significativo”, disse Ryland. “Conseguimos fazer muita detecção e bloqueio de borda disso, mas também trabalhar para reduzir a existência de proxies abertos em nossa plataforma, [and]… a Internet em geral, informando outros provedores quando vemos esse comportamento.”
Outro elemento desses proxies abertos é que os criminosos gostam de usá-los para ataques de preenchimento de credenciaisonde eles obtiveram uma lista de senhas vazadas ou roubadas e, em seguida, tentaram forçar a entrada no ambiente da vítima.
MadPot, “fingindo ser um proxy aberto e fingindo enviar as solicitações para o alvo real”, fornece à AWS uma tonelada de dados sobre essas tentativas e ajuda a evitar que mais pessoas e organizações sejam vítimas delas, disse Ryland.
“Sabemos não apenas quem é o alvo, mas sabemos exatamente o que eles estão almejando, quem eles estão almejando”, disse ele. “E podemos então adquirir todas as credenciais que eles estão usando e adicioná-las às listas do setor de credenciais roubadas conhecidas”. ®
.
