Облачные интерфейсы прикладного программирования (API) стали ключевыми элементами современных облачных вычислений, предлагая комплексные средства для программного взаимодействия с широким спектром облачных сервисов. Эти API, являющиеся неотъемлемой частью таких облачных сред, как AWS, Azure и Google Cloud Platform (GCP), предоставляют функциональные возможности, охватывающие различные области, такие как вычисления, хранение, управление идентификацией и доступом (IAM), сети и политики безопасности.
Доступные через множество интерфейсов, включая интерпретаторы командной строки (CLI), браузерные облачные оболочки и модули PowerShell, такие как Azure for PowerShell, эти API способствуют беспрепятственной интеграции и управлению облачными ресурсами. Кроме того, наборы для разработки программного обеспечения (SDK) для популярных языков программирования, таких как Python, еще больше упрощают использование этих API, позволяя разработчикам встраивать облачные функции непосредственно в свои приложения.
Использование облачных API злоумышленниками
Универсальный характер облачных API, хотя и полезен для легитимного управления и автоматизации, также открывает возможности для эксплуатации злоумышленниками. Эти API при наличии соответствующих разрешений (например, токенов доступа к приложениям или файлов cookie веб-сессий) могут использоваться для выполнения целого ряда действий, способных поставить под угрозу облачные среды. Злоумышленники могут использовать эти интерфейсы для удаленного выполнения команд или сценариев, что может повлиять на различные аспекты инфраструктуры арендатора облака. Доступность этих API как через облачные, так и через локальные узлы или через браузерные оболочки, предоставляемые облачными платформами, повышает риск. В частности, облачные оболочки предлагают унифицированную среду для использования модулей CLI и сценариев, которые при неправильном использовании могут привести к значительным нарушениям безопасности в облачной инфраструктуре.
Загрузка, загрузка и выполнение вредоносных полезных нагрузок
В мае 2024 года исследователи в области кибербезопасности отметили значительный рост использования API Microsoft Graph злоумышленниками. Эти злоумышленники использовали API для создания скрытых каналов связи для вредоносного ПО, эффективно смешивая вредоносный трафик с легитимной деятельностью облачных сервисов, чтобы избежать обнаружения.
В частности, было выявлено несколько хакерских групп, связанных с национальными государствами, включая APT28, REF2924, Red Stinger, Flea, APT29 и OilRig, которые использовали Microsoft Graph API для передачи командно-контрольных сообщений (C&C). Эта тактика предполагала размещение инфраструктуры C&C на облачных сервисах Microsoft, что позволяло маскировать вредоносные операции под доверенные платформы.
Один из конкретных случаев связан с развертыванием ранее не документированной вредоносной программы под названием BirdyClient (также известной как OneDriveBirdyClient) против организации в Украине. Эта вредоносная программа использовала Microsoft Graph API для взаимодействия с OneDrive, выступая в качестве C&C-сервера для загрузки и скачивания файлов. Вредоносная DLL, связанная с BirdyClient, была разработана таким образом, чтобы имитировать компоненты легитимного программного обеспечения, что еще больше затрудняло обнаружение.
Растущее злоупотребление Microsoft Graph API подчеркивает проблемы, с которыми сталкиваются организации при защите своих сетей от сложных киберугроз, использующих доверенные облачные сервисы. Для снижения таких рисков необходимо осуществлять тщательный мониторинг деятельности API, обеспечивать строгий контроль доступа и поддерживать актуальные меры безопасности на всех облачных платформах.