האקרים השתמשו במנגנון ההצפנה של AWS והפעילו התקפות כופר נגד ארגונים

קבוצת תוקפים בשם Codefinger הצליחה להשתמש במנגנון ההצפנה של AWS כדי להפעיל התקפות כופר נגד ארגונים המשתמשים בשירות האחסון S3 של החברה. לפי הליקון, חברת אבטחת הסייבר שעלתה על ההתקפה, ההאקרים מסתמכים על אישורים גנובים ועל תהליך ההצפנה בצד השרת של AWS באמצעות מפתחות המסופקים על ידי הלקוחות, כדי למנוע את הניסיון לשחזר את הנתונים ללא שימוש במפתח שהתוקפים יצרו.

ההאקרים הצליחו לאתר מפתחות, המאפשרים תהליכי קריאה וכתיבה של אובייקטים ל-S3, וקראו לתהליך ההצפנה כדי ליצור מפתח ברמת AES-256 שמאוחסן באופן מקומי, ותהליך האחזור של AWS אינו מאפשר לא לשחזר את המפתח וגם לא לפתוח את ההצפנה – כך שהדרך היחידה היא להשתמש במפתח שיצרו התוקפים.

"חשוב לציין, שהתקפה זו אינה מצריכה ניצול של פגיעות כלשהי של AWS אלא מסתמכת על כך שההאקרים מצליחים להשיג את אישורי החשבון של הלקוח ב-AWS", ציינו בהליקון.

התוקפים, כך מתברר, הכניסו לכל ספרייה מוצפנת הודעה שמורה לקורבן לשלם כופר ולהימנע משינוי הרשאות חשבון. ויותר מכך, כדי להוסיף ללחץ וכדי להגביר את היתכנות התשלום, התוקפים משתמשים במנגנון מחזור החיים המובנה ב-S3 כדי לסמן את הקבצים למחיקה תוך שבעה ימים.

דובר של AWS מסר, כי הדיווח של הליקון מבוסס על תקריות שאירעו בשני ארגונים, ושהחברה, בכל פעם שהיא מודעת למפתחות חשופים, מודיעה ללקוחות המושפעים.

"אנו גם חוקרים ביסודיות את כל הדיווחים על מפתחות חשופים ומבצעים במהירות את כל הפעולות הנדרשות, כגון החלת מדיניות הסגר כדי למזער סיכונים עבור לקוחות מבלי לשבש את סביבת ה-IT שלהם. אנו מעודדים את כל הלקוחות לעקוב אחר שיטות העבודה המומלצות בהיבטים של אבטחה, זהות ותאימות. AWS מספקת ללקוחות מגוון רחב של יכולות בקרת גישה ואימות, מונעת את הצורך לאחסן אישורים ומציעה תכונות אוטומטיות של ניהול אישורים וסודות המכסים משאבי AWS וצד שלישי", נמסר מהחברה.