Cloud gigant AWS kaže da je interni mamac sistem za otkrivanje prijetnji pod nazivom MadPot uspješno korišten za hvatanje malicioznih aktivnosti, uključujući državno podržane APT-ove koje kao što su Volt Typhoon i Sandworm.
MadPot, zamisao AWS softverskog inženjera Nime Sharifi Mehr, opisan je kao „sofisticirani sistem senzora za praćenje i mogućnosti automatizovanog odgovora“ koji hvata zlonamjerne hakere, prati njihove pokrete i generiše zaštitne podatke za više AWS-ovih sigurnosnih proizvoda.
AWS je rekao da je honeypot sistem dizajniran da izgleda kao ogroman broj vjerodostojnih nevinih meta za preciziranje i zaustavljanje DDoS botneta i proaktivno blokiranje vrhunskih hakera kao što je Sandworm du pokušajima da kompromituju korisnike AWS-a.
U zabilješci koja opisuje MadPot, AWS je rekao da senzori prate više od 100 miliona potencijalnih prijetnji svaki dan širom svijeta, pri čemu otprilike 500.000 tih uočenih aktivnosti napreduje do tačke u kojoj se mogu klasifikovati kao maliciozne.
“Ta ogromna količina obavještajnih podataka o prijetnjama se proguta, korelira i analizira kako bi se pružili uvidi o potencijalno štetnim aktivnostima koje se dešavaju na internetu. Mogućnosti odgovora automatski štite AWS mrežu od identifikovanih prijetnji i generiraju odlaznu komunikaciju prema drugim kompanijama čija se infrastruktura koristi za zlonamjerne aktivnosti“, navode iz kompanije.
U slučaju Sandworma, AWS je rekao da je honeypot uhvatio hakera u pokušaju da iskoristi bezbjednosnu ranjivost koja utiče na uređaje za bezbednost mreže WatchGuard. „Pomnim istraživanjem payload-a, identifikovali smo ne samo IP adrese već i druge jedinstvene atribute povezane sa pretnjom Sandworm-a koji su bili uključeni u pokušaj kompromitovanja AWS korisnika“, dodaje se.
“Jedinstvena sposobnost MadPota da oponaša različite usluge i da se uključi u visok nivo interakcije pomogla nam je da uhvatimo dodatne detalje o Sandworm kampanjama, kao što su usluge koje je haker ciljao i komande nakon eksploatacije koje je pokrenuo taj haker. Koristeći ovu obavještajnu informaciju, informisali smo kupca, koji je odmah djelovao kako bi ublažio ranjivost”, saopštio je AWS.
U drugom visokoprofilnom slučaju, AWS je rekao da je sistem MadPot korišten da pomogne vladi i organima za provođenje zakona da identifikuju i poremete Volt Typhoon, hakersku grupu koju podržava kineska država koja je uhvaćena kako izvlači podatke iz kritičnih infrastrukturnih organizacija u Guamu, američkoj teritoriji u Pacifiku.
“Kroz našu istragu unutar MadPot-a, identifikovali smo payload koji je dostavio haker koji je sadržavao jedinstveni potpis, što je omogućilo identifikaciju i pripisivanje aktivnosti Volt Typhoona koje bi inače izgledale nepovezane”, objasnio je AWS.
Kompanija je saopštila da se podaci i nalazi MadPota koriste za poboljšanje kvaliteta njegovih sigurnosnih alata koji uključuju AWS WAF, AWS Shield, AWS mrežni firewall i Amazon Route 53 Resolver DNS firewall, te detektivske i reaktivne servise kao što su Amazon GuardDuty, AWS Security Hub, i Amazon Inspector.
Izvor: SecurityWeek