Criminosos inseriram rootkitpara comandar manualmente os servidores e direcionar a data corporativa confidencial para seus servidores de comando e controle
Um grupo de hackers invadiu servidores da Amazon Web Services (AWS). Eles inseriram um rootkit (software mal-intencionado que permite acesso privilegiado a um computador) para comandar manualmente os servidores e direcionar a data corporativa confidencial para seus servidores de comando e controle (C&C). Os invasores violaram uma variedade de sistemas operacionais Windows e Linux no data center da AWS.
Um relatório publicado pela Sophos na semana passada levantou dúvidas e suspeitas em relação ao setor de segurança cibernética. Segundo relatos da empresa britânica de segurança cibernética, os hackers conseguiram evitar o Amazon Web Services SG (grupos de segurança) facilmente. Os grupos de segurança devem funcionar como uma verificação de segurança para garantir que nenhum agente mal-intencionado viole a instância do EC2 (servidor virtual usado pela AWS para executar o aplicativo).
A vítima anônima desse ataque já havia montado um SG perfeitamente afinado. Mas, devido ao rootkit instalado nos servidores da AWS, os hackers obtiveram acesso remoto enquanto o sistema operacional Linux ainda procurava conexões de entrada. Foi quando a Sophos interveio. A empresa disse que a vítima poderia ser qualquer pessoa, não apenas a AWS.
O problema não era com a AWS, esse método de captura poderia ter violado qualquer firewall, se não todos. De acordo com a conclusão de especialistas em segurança cibernética, é provável que os hackers sejam patrocinados por algum estado-nação. O incidente é denominado “cloud snooper”. Um especialista em segurança cibernética chegou a chamá-lo de um belo trabalho (de um ponto de vista técnico). “Essas coisas acontecem o tempo todo, só percebemos porque aconteceu com uma organização famosa”, disse ele. Ainda há perguntas não respondidas sobre o hacking, mas a mais importante é perceber que os hackers conseguiram gerenciar esse ataque.
“Uma análise desse sistema revelou a presença de um rootkit que concedia aos operadores do malware a capacidade de controlar remotamente o servidor por meio dos SGs da AWS. Mas os recursos deste rootkit não se limitam a fazer isso na nuvem da Amazon: ele também pode ser usado para se comunicar e controlar remotamente malware em qualquer servidor atrás de um firewall de fronteira, até mesmo um servidor local. Ao desenrolar outros elementos desse ataque, identificamos ainda outros hosts Linux, infectados com o mesmo ou um rootkit semelhante “, disse a Sophos.