Ó Google publicou em março um relatório sobre ataques utilizando nuvens. Dentre os destaques, os pesquisadores revelam como hackers norte-coreanos roubaram milhões de dólares de uma empresa de criptomoedas.
Na semana passada, o Google Threat Intelligence Group (GTIG) também fez um alerta para quem usa iPhone e iPadrevelando uma nova e poderosa ameaça de que pode roubar criptomoedas de seus usuários.
Google publica relatório sobre ataque contra empresa de criptomoedas
O relatório aponta que os hackers da Coreia do Norte ganharam engenharia social, exploração de mecanismos de transferência de dados P2P para entrar nos computadores da empresa a partir do dispositivo de um empresário, e fluxos de trabalho.
🟠Receba consultoria em Bitcoin com os maiores especialistas do mercado.
Além disso, também obtivemos recursos legítimos da nuvem para passarmos desesperados, utilizando técnicas de chamadas de “vivendo fora da nuvem” (LOTC).
Ou seja, assim que tiveram sucesso em entrar na nuvem da empresa alvo, eles fingiram ser usuários normais usando ferramentas legítimas para pegar senhas para depois acessar e manipular os bancos de dados para, por fim, roubar criptomoedas.
Em detalhes, o Google aponta que um desenvolvedor foi atraído por hackers para realizar um suposto projeto de código aberto. No entanto, o gerente acabou baixando um arquivo infectado e transferindo para seu computador de trabalho.
“Usando seu IDE assistido por IA, a vítima interagiu com o conteúdo do arquivo, eventualmente executando o código malicioso em Python incorporado, que gerou e executou um binário disfarçado como ferramenta de linha de comando Kubernetes”explica o Google.
“Este binário se comunicou com domínios controlados pela UNC4899 (hackers norte-coreanos) e serviu como backdoor, dando aos atacantes acesso à estação de trabalho da vítima, garantindo uma entrada na rede corporativa.”
Após isso, os hackers aproveitaram as sessões autenticadas no host para entrar no Google Cloud da empresa, realizando um reconhecimento de diversos serviços e projetos.
A última etapa foi obter chaves de acesso mais poderosas (tokens de contas de serviço CI/CD de alto privilégio) que lhe permitiriam tomar mais ações, incluindo mudanças nas políticas de rede e gerenciamento de planos de dados.
“Em seguida, o UNC4899 utilizou as credenciais do banco de dados, acessou o banco de produção via Cloud SQL Auth Proxy e executou diversos comandos SQL, resultando em modificações não autorizadas em contas de usuários, incluindo redefinição de senhas e atualizações de MFA para várias contas de alto valor. Os atacantes então obtiveram essas contas comprometidas para retirar com sucesso vários milhões de dólares em criptomoedas.”
O Google, no entanto, não revelou qual foi a empresa afetada.
Independente disso, dá recomendações para outras companhias, incluindo a “adoção de uma estratégia de defesa que valide rigorosamente a identidade, restrinja a transferência de dados em terminais e imponha isolamento estrito em ambientes de tempo de execução de nuvem para limitar o impacto de um evento de intrusão”.
Por fim, o relatório também cobre vulnerabilidades de software, roubo de identidade/dados, insiders maliciosos e ataques via OpenID Connect.
Fonteslivecoins
Leia Também:
Argentina publica regredas para ateaça de corretoras de cripcriphoedas No País
As ações da Bitdeer caem 20% enquanto o minerador de Bitcoin registra prejuízo líquido no terceiro trimestre
Mineiros enfrentam uma crise de lucro com a queda dos preços do Bitcoin e o preço do hash atingindo mínimos recordes