De aanval gebruikt een rootkit om kwaadaardige pakketten door de firewall van AWS te krijgen en op die manier een trojan op de cloudservers van de klant te zetten. Die kan op zijn beurt van op afstand door mogelijke hackers worden aangesproken. De rootkit geeft de aanvallers zo controle over de server maar laat de malware ook zelf met de command-and-control servers van de indringers communiceren.

Het gaat om een nieuw soort aanval, die werd gevonden door onderzoekers van Sophos bij het inspecteren van geïnfecteerde Linux en windows EC2 cloudinfrastructuursevers op AWS. Volgens Sophos lijkt de aanval mogelijk op het werk van een natiestaat.

"De firewall policy van deze servers was niet nalatig maar kon wel beter", vertelt Chet Wisniewski, hoofd onderzoekswetenschapper bij Sophos. De aanvallers hadden hun activiteit namelijk in HTTP en HTTPS verkeer verstopt. "De malware was gesofisticeerd genoeg dat ze moeilijk te detecteren is, zelfs met een strenge security policy op de firewall", gaat hij verder, "het was een wolf in schapenvacht die opging in het bestaande verkeer."

"Dit is de eerste keer dat we een aanval hebben gezien die een bypass-techniek combineert met een multiplatform payload, gericht op zowel Windows- als Linux-systemen. IT-securitysteams en netwerkbeheerders moeten snel heel veel werk verzetten met het patchen van alle externe services om te voorkomen dat aanvallers cloud- en firewallbeveiligingsbeleid ontwijken", zegt Sergei Shevchenko, threat research manager van SophosLabs in een persmededeling. "Het is een kwestie van tijd voordat meer cybercriminelen deze technieken overnemen."

Het is niet bekend welke organisatie slachtoffer was van deze aanval, maar Sophos zegt wel dat de aanval mogelijk deel uit maakt van een campagne om verschillende doelen via hun supply chain te bereiken.

Sophos Labs doet de aanval uit de doeken in een uitgebreid rapport, met een illustratie die we u niet willen onthouden.

Een illustratie van hoe Cloud Snooper werkt © Sophos Labs
De aanval gebruikt een rootkit om kwaadaardige pakketten door de firewall van AWS te krijgen en op die manier een trojan op de cloudservers van de klant te zetten. Die kan op zijn beurt van op afstand door mogelijke hackers worden aangesproken. De rootkit geeft de aanvallers zo controle over de server maar laat de malware ook zelf met de command-and-control servers van de indringers communiceren. Het gaat om een nieuw soort aanval, die werd gevonden door onderzoekers van Sophos bij het inspecteren van geïnfecteerde Linux en windows EC2 cloudinfrastructuursevers op AWS. Volgens Sophos lijkt de aanval mogelijk op het werk van een natiestaat. "De firewall policy van deze servers was niet nalatig maar kon wel beter", vertelt Chet Wisniewski, hoofd onderzoekswetenschapper bij Sophos. De aanvallers hadden hun activiteit namelijk in HTTP en HTTPS verkeer verstopt. "De malware was gesofisticeerd genoeg dat ze moeilijk te detecteren is, zelfs met een strenge security policy op de firewall", gaat hij verder, "het was een wolf in schapenvacht die opging in het bestaande verkeer." "Dit is de eerste keer dat we een aanval hebben gezien die een bypass-techniek combineert met een multiplatform payload, gericht op zowel Windows- als Linux-systemen. IT-securitysteams en netwerkbeheerders moeten snel heel veel werk verzetten met het patchen van alle externe services om te voorkomen dat aanvallers cloud- en firewallbeveiligingsbeleid ontwijken", zegt Sergei Shevchenko, threat research manager van SophosLabs in een persmededeling. "Het is een kwestie van tijd voordat meer cybercriminelen deze technieken overnemen."Het is niet bekend welke organisatie slachtoffer was van deze aanval, maar Sophos zegt wel dat de aanval mogelijk deel uit maakt van een campagne om verschillende doelen via hun supply chain te bereiken. Sophos Labs doet de aanval uit de doeken in een uitgebreid rapport, met een illustratie die we u niet willen onthouden.