Cercetătorii în securitate cibernetică au descoperit un backdoor Linux nedocumentat anterior, atribuit grupului APT41 — gruparea de amenințări susținută de China, cunoscută și sub numele de Winnti —, conceput pentru a colecta credențiale cloud de la furnizori majori, printre care Amazon Web Services, Microsoft Azure, Google Cloud Platform și Alibaba Cloud. Descoperirea marchează o extindere a arsenalului APT41 în mediile Linux native cloud, unde grupul a implementat un implant furtiv care a eludat toate soluțiile antivirus timp de peste doi ani.
Un backdoor creat special pentru cloud
Programul malițios, un binar ELF x86_64 de 2,7 MB, a fost semnalat pentru prima dată de firma de informații despre amenințări Breakglass Intelligence și ulterior acoperit de Dark Reading și IBM X-Force Exchange. Backdoor-ul utilizează un virtualizator de cod personalizat care face analiza statică aproape imposibilă și nu a înregistrat nicio detecție pe VirusTotal la momentul descoperirii.
Implantul vizează în mod specific sarcinile de lucru din cloud, colectând metadatele instanței — mecanismul prin care platformele cloud furnizează credențiale și date de configurare mașinilor virtuale — din medii AWS, Azure, GCP și Alibaba Cloud. Pentru comunicarea cu serverul de comandă și control, backdoor-ul folosește portul SMTP 25, un canal covert care se îmbină cu traficul legitim de e-mail pentru a evita detectarea la nivel de rețea.
Cercetătorii au identificat trei domenii typosquat care imită serviciile proprii ale Alibaba: unul care contrafăcea aliyun.com prin înlocuirea literei minuscule „l” cu cifra „1″, altul care imita Alibaba Cloud Storage și un al treilea care contrafăcea platforma de inteligență artificială a firmei chineze de securitate cibernetică Qianxin. Toate trei domeniile rezolvau către o singură adresă IP Alibaba Cloud din Singapore, care rămăsese invizibilă pentru motorul de căutare Shodan timp de peste doi ani și jumătate.
Atribuire și context mai larg
Atribuirea către APT41 s-a bazat pe similitudini de cod și suprapuneri de infrastructură cu operațiuni anterioare ale grupului, activ cel puțin din 2012, care acționează sub un dublu mandat: spionaj sponsorizat de stat și criminalitate cibernetică motivată financiar. APT41 este monitorizat sub numeroase denumiri alternative, printre care Brass Typhoon, Wicked Panda și Earth Baku.
Descoperirea se înscrie într-un tipar mai amplu al actorilor cu conexiuni la statul chinez, care se reorientează tot mai mult către infrastructura cloud. Conform unei analize realizate de DugganUSA, cinci operațiuni APT chineze desfășurate simultan au fost identificate ca utilizând infrastructura Alibaba Cloud în același interval de 90 de zile, backdoor-ul Winnti al APT41 reprezentând una dintre cele mai avansate din punct de vedere tehnic.
Mediile Cloud ca nouă linie de front
Concentrarea backdoor-ului pe furtul de credențiale cloud reflectă o schimbare strategică în metodele de targetare ale APT41. Deși variantele malware Winnti pentru Linux există cel puțin din 2015, acesta este primul caz documentat în care grupul a implementat un colector de credențiale cloud construit special, prin intermediul framework-ului Winnti. Tehnica de exploatare a endpoint-urilor de metadate ale instanțelor pentru a fura credențiale IAM a devenit un vector de atac tot mai frecvent în rândul grupărilor de amenințări care vizează mediile cloud.
Organizațiile care rulează sarcini de lucru Linux pe platforme cloud majore ar trebui să auditeze controalele de acces la endpoint-urile de metadate și să monitorizeze traficul SMTP anonim provenit din instanțele cloud, au recomandat cercetătorii.
Surse: https://www.dugganusa.com/post/the-alibaba-thread-five-chinese-apt-operations-one-cloud-provider
https://ctoatncsc.substack.com/p/cto-at-ncsc-summary-week-ending-april-36d
https://exchange.xforce.ibmcloud.com/osint/guid:3d2e63a447f049b2a80ec119f2fbaea0