Spécialisé dans les solutions de sécurité des environnements cloud, virtualisés et conteneurisées, Aqua Security a analysé les données relatives à 17 521 cyberattaques repérées au 2nd semestre 2020, en hausse de 26% par rapport au semestre précédent. Compilées dans son dernier rapport Cloud Native Threat Report, elles mettent en lumière l'évolution des techniques utilisées par les cybercriminels. « Ils continuent de chercher d'autres façons pour attaquer les environnements cloud native », indique Aqua Security. « Nous avons identifié des attaques massives visant des supply chain, des processus d'auto-construction de référentiels de code, des registres ainsi que des fournisseurs de services d'intégration continue ce qui n'était pas des vecteurs courants dans le passé ». Derrière ces campagnes, plusieurs objectifs ressortent : piéger ces environnements à des fins de cryptominage (41%) ou installation de porte dérobée (36%) pour accéder au réseau et au SI d'une victime.

Les offensives ciblant les environnements conteneurisées peuvent être menées via des images dotées de capacité d'obfuscation ou de commandes malveillantes. Au second semestre 2020, un vecteur de compromission a été observé visant à corrompre l'image directement sur un hôte cible. « Les attaquants ont utilisé un package Docker SDK for Python pour envoyer des commandes à une API Docker mal configurée. La séquence d'attaque a commencé en envoyant des requêtes GET pour explorer le serveur Docker et des requêtes POST pour construire et exécuter une image corrompue sur un hôte cible », explique AquaSecurity. Au second semestre 2020, 3,78 images par jour ont été utilisées à des fins de compromission contre 2,75 un an plus tôt, montrant que les attaquants diversifient leurs techniques d'approches. Dans le même temps, le nombre d'attaques directes a largement progressé, dépassant en moyenne les 97 contre à peine 13 au seconde semestre 2020.

Des adresses IP malveillantes non détectées

« Toutes les adresses IP utilisées dans les attaques étaient liées à des services cloud et d'hébergement de fournisseurs. Nos pots de miel ont enregistré du trafic entrant en provenance de Russie (17,3%) et le États-Unis (15,9%). Étonnamment, seulement 13,43 % des adresses IP sont marquées comme malveillantes dans listes de blocage. Cela signifie que les systèmes de détection et de prévention du réseau qui reposent sur les listes de blocage populaires seront généralement inefficaces pour détective et prévenir de telles communications », peut-on également lire dans le rapport. En moyenne, les attaquants mettent 5 heures pour scanner un honeypot, mais quelques minutes pour les plus rapides et jusqu'à 24h pour les plus lents. Le temps de découverte médian est d'environ une heure.

Dans le cadre de son rapport, AquaSecurity a établi les spécificités des cyberattaques visant les containers en se basant sur le framework MITRE ATT&CK classiquement répandu en matière de cybersécurité. Avec à la clé plusieurs constats comme le fait que les pirates continuent d'utiliser des vers pour détecter et infecter des hôtes vulnérables, de télécharger des fichiers malveillants lors de l'exécution des containers en vue de piéger des sites web du code corrompu. Ils peuvent aussi réaliser des offensives exploitant principalement un port d'API Docker mal configuré exposé sur le web et autorisant des accès au trafic web via des appels entrants. « Au dessus de l'habituel vecteur d'attaques contre des API mal configurées, nous avons également vu des fichiers de construction sur un hôte écrits en base64 », poursuit AquaSecurity.