Nuova tipologia di Attacco “Man in the Cloud”

 

Proto: N010815. 

Con la presente Yoroi desidera comunicarLe importanti e recenti evoluzioni in strategie e vettori di attacco note con l’acronimo MITC “Man in the Cloud. Questa emergente tipologia di minacce sfrutta le particolari caratteristiche di servizi Cloud quali servizi di condivisione e sincronizzazione file come Dropbox, Box, Google Drive o Microsoft OneDrive, comunemente utilizzati anche in ambienti aziendali e professionali

Attraverso l’alterazione dei token di sicurezza utilizzati dagli agenti installati presso PC, smartphone o tablet in uso dagli utenti di servizi di sincronizzazione e condivisione file risulta possibile trafugare dati ed informazioni sensibili sfruttando le stesse funzionalità offerte dai questi servizi, senza generare evidenti allarmi di sicurezza presso sistemi perimetrali e console di gestione dei servizi Cloud. 

Il seguente schema illustra uno scenario d’attacco nel quale attraverso una interazione minima con il PC della vittima (scambio dei token di sicurezza in fase 1) un attaccante sia in grado di ottenere accesso sia in lettura che in scrittura alla cartella sincronizzata dall’utente presso il servizio Cloud (fasi 2, 3 e 4) ed attraverso ulteriori sostituzioni dei token di sicurezza riesca a rendere particolarmente difficile il rilevamento dell’avvenuta compromissione (fasi 5 e 6).


Scenario d’attacco MITC (courtesy of Imperva)

L’attacco MITC descritto può essere portato a termine con l’utilizzo di apposito Malware studiato per sfruttare i servizi Cloud indicati senza alcuna necessità di installarsi persistentemente sugli host vittima, rendendo la compromissione completatmente trasparente ai sistemi di sicurezza tradizionali. 

Per questa ragione Yoroi suggerisce di monitorare l’accesso ai dati aziendali sensibili e di mappare la loro distribuzione dei dispositivi dell’organizzazione, di effettuare controlli periodici sulle attività riportate dai servizi Cloud di sincronizzazione file (eg. Dropbox, Box, Google Drive o Microsoft OneDrive) ed effettuare monitoraggi attivi dei file scaricati o ricevuti dagli utenti di rete al fine di rilevare la presenza di minacce avanzate e tentativi di attacco portati ai danni dell’organizzazione.


Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l’utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro Cyber. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index