Bien avant de revendiquer le piratage de Red Hat, Crimson Collective multipliait déjà les attaques sur les environnements AWS. Selon Rapid7, le groupe y siphonne des données sensibles dans le but d’extorquer leurs propriétaires.
Les premières fuites issues de Red Hat n’étaient visiblement que la partie émergée de l’iceberg. Depuis plusieurs semaines, les chercheurs de Rapid7 observent une série d’attaques ciblant des instances Amazon Web Services. Les pirates cherchent avant tout à obtenir des accès persistants à haut privilège pour cartographier les infrastructures, exfiltrer des bases de données et exercer une pression financière sur les victimes. Crimson Collective, qui a depuis revendiqué le piratage du GitLab interne de Red Hat Consulting, semble désormais vouloir industrialiser sa méthode.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une compromission méthodique des environnements AWS
Selon Rapid7, les attaques de Crimson Collective reposent sur des identifiants AWS compromis, souvent retrouvés dans des dépôts de code publics ou exposés par inadvertance. Les pirates utilisent TruffleHog, un outil open source normalement employé par les équipes de sécurité pour repérer ce type de fuites, afin de tester automatiquement la validité des clés découvertes.
Lorsqu’un compte compromis dispose de privilèges suffisants, ils cherchent à établir une présence durable en créant un nouvel utilisateur IAM, en lui attribuant un mot de passe et des clés d’accès, puis en lui appliquant la politique « AdministratorAccess », qui leur ouvre les droits les plus étendus sur l’environnement cible. Dans les cas où le compte n’est pas assez privilégié, ils le délaissent ou testent, via un appel d’API, l’étendue des permissions disponibles pour déterminer jusqu’où ils peuvent aller.
Une fois l’accès consolidé, le groupe procède à une cartographie complète de l’environnement cloud. L’analyse des journaux d’activité montre qu’il collecte des informations détaillées sur les instances EC2 et leurs groupes de sécurité, les volumes et snapshots EBS, les VPC, les tables de routage, les bases RDS, les buckets S3, les coûts et l’utilisation du compte, les notifications de surveillance, ainsi que les rôles et politiques IAM. Le groupe évalue aussi les quotas de service pour Amazon SES et SMS, susceptibles d’être exploités pour diffuser des messages malveillants depuis les environnements compromis.
Lorsque les droits obtenus le permettent, Crimson Collective modifie les mots de passe administrateurs des bases RDS, crée des instantanés, les exporte vers S3, puis déploie de nouvelles instances EC2 configurées avec des règles de sécurité trop permissives afin de faciliter l’exfiltration des données.
Les victimes reçoivent ensuite un message d’extorsion envoyé directement depuis leur propre infrastructure via le service AWS Simple Email Service (SES). Rapid7 a constaté que les mêmes adresses IP réapparaissaient d’un incident à l’autre, a priori signe d’une opération coordonnée menée par plusieurs individus.
Des fuites qui valent doublement de l’or
Ici, l’objectif n’est donc pas de paralyser les systèmes, mais de monétiser au mieux les données volées. D’après Rapid7, Crimson Collective se concentre avant tout sur la collecte et l’exfiltration de bases de données, de dépôts de projets et d’autres informations sensibles, ce qui expose directement les produits et les clients des entreprises ciblées.
Les organisations utilisant AWS ont donc tout intérêt à vérifier que leurs identifiants d’accès n’ont pas fuité, notamment ceux stockés dans des dépôts publics ou d’anciens environnements de test. Les clés à long terme doivent être remplacées par des identifiants temporaires, et les droits IAM strictement limités au périmètre nécessaire.
Un audit de configuration peut aussi aider à repérer les comptes dormants, les règles de sécurité trop permissives ou les appels API suspects. Enfin, la surveillance active des secrets exposés, via des outils comme TruffleHog (utilisé à bon escient cette fois) ou S3crets Scanner, demeure l’un des moyens les plus efficaces pour prévenir ce type de compromission avant qu’elle ne devienne un levier d’extorsion.
Source : Rapid7
