A gigante da computação em nuvem AWS disse que um sistema interno de chamariz de informações sobre ameaças chamado MadPot foi usado com sucesso para capturar atividades maliciosas, incluindo ameaças persistentes avançadas (APTs) de grupos apoiados por Estados-nação, como o Volt Typhoon e Sandworm.
O MadPot, ideia da engenheira de software da AWS Nima Sharifi Mehr, é descrito como “um sofisticado sistema de monitoramento de sensores e recursos de resposta automatizada” que captura operadores de ameaças, observa seus movimentos e gera dados de proteção para vários produtos de segurança da sua plataforma de serviços de computação em nuvem.
A AWS disse que o sistema honeypot (mecanismo de segurança) foi projetado para parecer um grande número de alvos inocentes plausíveis para identificar e impedir botnets DDoS (de ataque distribuído de negação de serviço) e bloquear proativamente operadores de ameaças high-end, como o Sandworm, de comprometer os clientes da empresa.
Em uma nota descrevendo o MadPot, a AWS disse que os sensores monitoram mais de 100 milhões de potenciais interações e rastreiam ameaças todos os dias em todo o mundo, com aproximadamente 500 mil dessas atividades observadas avançando até o ponto em que podem ser classificadas como maliciosas.
“Essa enorme quantidade de dados de inteligência de ameaças é ‘ingerida’, correlacionada e analisada para fornecer insights sobre atividades potencialmente prejudiciais que acontecem na internet. Os recursos de resposta protegem automaticamente a rede da AWS contra ameaças identificadas e geram comunicações de saída para outras empresas cuja infraestrutura está sendo usada para atividades maliciosas”, afirmou a empresa.
No caso Sandworm, a AWS disse que o honeypot flagrou o grupo tentando explorar uma vulnerabilidade que afeta os dispositivos de segurança de rede da WatchGuard. “Com uma investigação minuciosa da carga, identificamos não apenas endereços IP, mas também outros atributos exclusivos associados à ameaça Sandworm que estavam envolvidos em uma tentativa de comprometimento de um cliente da AWS”, acrescentou.
“A capacidade única do MadPot de imitar uma variedade de serviços e se envolver em altos níveis de interação nos ajudou a capturar detalhes adicionais sobre as campanhas do Sandworm, como serviços que o ator estava segmentando e comandos pós-exploração iniciados por esse ator. Usando essa inteligência, notificamos o cliente, que agiu prontamente para mitigar a vulnerabilidade”, disse a AWS.
Veja isso
Pesquisadores alertam que AWS SSM pode ser usado como RAT
AWS corrige falha em repositório de imagens de contêineres
Em outro caso de grande repercussão, a AWS disse que o sistema MadPot foi usado para ajudar autoridades de governos e policiais a identificar e interromper o Volt Typhoon, um grupo de hackers apoiado pelo governo chinês flagrado desviando dados de organizações de infraestrutura crítica em Guam, um território dos EUA no Oceano Pacífico.
A empresa disse que os dados e descobertas da MadPot são usados para reforçar a qualidade de suas ferramentas de segurança, que incluem AWS WAF, AWS Shield, AWS Network Firewall e Amazon Route 53 Resolver DNS Firewall, além de serviços de detetive e reativos como Amazon GuardDuty, AWS Security Hub e Amazon Inspector.