आये दिन साइबर हमले (Cyber Attack) होते रहते हैं। हैकर्स अपनी करतूतों की वजह से एक से बढ़कर एक घटनाओं को अंजाम देते रहते हैं। यूनिट 42 जुड़े शोधकर्ताओं ने ऐसे ही एक बड़े साइबर अटैक का पता लगाया है। जिसमें हैकर्स ने क्लाउड सिस्टम का उपयोग करके कई संगठनों से छेड़छाड़ की और उनसे पैसे ऐंठे। सुरक्षा विश्लेषकों की माने तो हुए इस साइबर अटैक में 230 मिलियन से अधिक Unique Cloud Environments राडार पर थे।
हैकर्स ने env फाइल्स को किया हैक
अटैकर्स ने क्लाउड इन्फ्रास्ट्रक्चर पर env (exposed environment variable) को हथियाने के लिए के स्मार्ट रणनीति तैयार की। दरअसल, env फ़ाइलें, जिन्हें अक्सर सुरक्षा उपायों में अनदेखा किया जाता है, में अलग-अलग प्रोग्राम और सेवाओं तक पहुँच कोड जैसे गोपनीय डेटा होते हैं। इसके जरिये हैकर्स ने सिस्टम इस फाइल को हैक कर सभी गोपनीय जानकरियों को प्राप्त कर लिया।
ऑटोमैटिक उपकरणों के जरिये लाखों डोमेन की जांच
बड़ी बात यह कि हैकर्स ने ऑटोमैटिक उपकरणों के जरिये लाखों डोमेन की जांच की। न सिर्फ जांच की बल्कि env फ़ाइलों में रखी महत्वपूर्ण और गोपनीय जानकारियों को भी हैक कर लिया। हैक करने के बाद उन्होंने GetCallerIdentity, ListUsers और ListBuckets जैसे AWS API कॉल की जांच शुरू कर दी। इसके बाद अटैकर्स ने नए IAM रोल बनाकर अपने विशेषाधिकार बढ़ा दिए, जिसकी वजह से अब उनके पास पूर्ण प्रशासनिक अधिकार थे और इससे पता चलता है कि कि वे AWS IAM जुड़ी बारीकियों से बखूबी वाकिफ थे।
हैकर्स ने 110,000 से अधिक डोमेन की .env फ़ाइलों को किया हैक
इसके बाद उन्होंने लैम्ब्डा फ़ंक्शन को तैनात करना शुरू किया जो कई Amazon वेब सेवा क्षेत्रों में .env फ़ाइलों के लिए पुनरावर्ती स्कैन करने के लिए डिज़ाइन किए गए थे, जिसमें बड़े पैमाने पर फ़िशिंग कम्पैन के लिए उपयोगी Mailgun क्रेडेंशियल पर विशेष ध्यान दिया गया था। शोध में इस बात का भी खुलासा हुआ है कि हैकर्स ने 110,000 से अधिक डोमेन की .env फ़ाइलों को हैक कर लिया था और उनके पास 230 मिलियन अद्वितीय एंडपॉइंट को पार करने वाली लक्ष्य सूची थी। इस तरह अंततः उन्होंने S3 बकेट में डेटा एक्सफ़िलट्रेशन को भी हैक कर लिया।
खैर, इस तरह की परिष्कृत हमले की रणनीति मजबूत IAM नीतियों को लागू करने, हर समय क्लाउड गतिविधियों पर नज़र रखने और कॉन्फ़िगरेशन फ़ाइलों के लिए आवश्यक सुरक्षा मानकों का पालन करने के महत्व को दर्शाती करती है ताकि अनधिकृत प्रविष्टि और क्लाउड वातावरण में डेटा हानि या लीक से संबंधित जोखिमों से बचा जा सके।
पालो ऑल्टो अनुसंधान का खुलासा
पालो ऑल्टो अनुसंधान की माने तो, हैकर्स को यह समझते देर नहीं लगी कि Cloud Environments में प्रारंभिक पहुँच प्राप्त करने के लिए उपयोग किए जाने वाले मूल IAM क्रेडेंशियल में सभी क्लाउड संसाधनों तक व्यवस्थापक पहुँच नहीं थी। अटैकर्स ये समझ गए कि प्रारंभिक पहुँच के लिए उपयोग की जाने वाली मूल IAM भूमिका में नई IAM भूमिकाएँ बनाने और मौजूदा भूमिकाओं में IAM नीतियाँ संलग्न करने की अनुमति थी। बेशक इस क्लाउड-आधारित जबरन वसूली अभियान ने डेटा एक्सफ़िल्टरेशन और परिचालन सुरक्षा में परिष्कृत रणनीति का खुलासा किया। अटैकर्स द्वारा S3 ब्राउज़र का उपयोग विशिष्ट API कॉल करने के लिए किया गया था, जो ऑब्जेक्ट-लेवल लॉगिंग से गुज़रे बिना उनके संचालन को प्रकट कर देते थे।
की जाती थी जबरन उसूली
ध्यान देने वाली महत्वपूर्ण बात यह कि एक्सफ़िल्टरेशन को लागत और उपयोग रिपोर्ट के माध्यम से पता लगाया जा सकता है, जो GetObject और DeleteObject संचालन में स्पाइक्स को इंगित कर सकता है। डेटा को निकालने और हटाने के बाद, अटैकर्स ने खाली S3 बकेट में फिरौती के नोट अपलोड किए, जिसमें डेटा लीक को रोकने और संभावित रूप से हटाई गई जानकारी को पुनर्स्थापित करने हेतु भुगतान की मांग की गई। यही नहीं, कभी-कभी ईमेल के माध्यम से लक्षित कंपनी के शेयरधारकों को भेजा जाता था और उनसे जबरन उसूली की जाती थी।
इससे एक कदम आगे बढ़कर हैकर्स ने सोशल मीडिया लॉगिन क्रेडेंशियल को भी प्राप्त कर लिया और बेसिक इंफ्रास्ट्रक्चर से जुड़ी जानकारियां थी। लेकिन कहते हैं बड़े से बड़े अक्लमंद भी गलती कर ही जाता है। अटैकर्स ने भी यही गलती की, दरअसल, वो टोर नोड्स और वीपीएन क्लाइंट दोनों का उपयोग कर रहे थे, ताकि वे संभावित रूप से खुद यूक्रेन और मोरक्को में दिखा सकें।
अपनाने होने सुरक्षा के कड़े उपाय
ऐसे में संगठनों को उचित सुरक्षा उपायों को लागू करने की आवश्यकता है जैसे कि अप्रयुक्त AWS क्षेत्रों को अक्षम करना, 90-दिन की अवधारण अवधि के साथ मजबूत लॉग रखना और Amazon GuardDuty को नियोजित करना।
इस हेतु कंपनियों को कम से कम विशेषाधिकार और अस्थायी क्रेडेंशियल वरीयता को अपनाना चाहिए और AWS के भीतर उनके उपयोग पैटर्न के अनुकूल कस्टम अलर्टिंग सिस्टम विकसित करना चाहिए।
एक बहुस्तरीय रक्षा प्रणाली, जिसमें निरंतर निगरानी और आवधिक सुरक्षा ऑडिट शामिल हों, ताकि इस तरह किसी भी बड़े साइबर हमले से बचा जा सके।
#CloudEnvironments #AWSBreach #DataProtection #CyberSecurity #CloudComputing #SecurityBreach #CloudAttack
