A gigante da computação em nuvem AWS afirma que um sistema de isca de inteligência contra ameaças internas chamado MadPot foi usado com sucesso para capturar atividades maliciosas, incluindo APTs apoiados por estados-nação, como Volt Typhoon e Sandworm.
MadPot, ideia do engenheiro de software da AWS, Nima Sharifi Mehr, é descrito como “um sistema sofisticado de sensores de monitoramento e recursos de resposta automatizada” que prende atores mal-intencionados, monitora seus movimentos e gera dados de proteção para vários produtos de segurança da AWS.
A AWS disse que o sistema honeypot foi projetado para se parecer com um grande número de alvos inocentes plausíveis para localizar e impedir botnets DDoS e impedir proativamente que agentes de ameaças de ponta, como o Sandworm, comprometam os clientes da AWS.
Em um observação descrevendo o MadPot, a AWS disse que os sensores monitoram mais de 100 milhões de interações e investigações de ameaças potenciais todos os dias em todo o mundo, com aproximadamente 500.000 dessas atividades observadas avançando até o ponto em que podem ser classificadas como maliciosas.
“Essa enorme quantidade de dados de inteligência sobre ameaças é ingerida, correlacionada e analisada para fornecer insights acionáveis sobre atividades potencialmente prejudiciais que acontecem na Internet. Os recursos de resposta protegem automaticamente a rede AWS contra ameaças identificadas e geram comunicações de saída para outras empresas cuja infraestrutura está sendo usada para atividades maliciosas”, disse a empresa.
No caso do Sandworm, a AWS disse que o honeypot capturou o ator tentando explorar uma vulnerabilidade de segurança que afetava os dispositivos de segurança de rede da WatchGuard. “Com uma investigação minuciosa da carga útil, identificamos não apenas endereços IP, mas também outros atributos exclusivos associados à ameaça Sandworm que estavam envolvidos em uma tentativa de comprometimento de um cliente da AWS”, acrescentou.
“A capacidade única do MadPot de imitar uma variedade de serviços e se envolver em altos níveis de interação nos ajudou a capturar detalhes adicionais sobre as campanhas Sandworm, como serviços que o ator estava almejando e comandos pós-exploração iniciados por esse ator. Usando essa inteligência, notificamos o cliente, que agiu prontamente para mitigar a vulnerabilidade”, afirmou a AWS.
Em outro caso de destaque, a AWS disse que o sistema MadPot foi usado para ajudar o governo e as autoridades policiais a identificar e interromper o Volt Typhoon, um grupo de hackers apoiado pelo Estado chinês que foi pego desviando dados de organizações de infraestrutura crítica em Guam, um território dos EUA no Oceano Pacífico.
“Por meio de nossa investigação dentro do MadPot, identificamos uma carga enviada pelo ator da ameaça que continha uma assinatura exclusiva, que permitiu a identificação e atribuição de atividades do Volt Typhoon que de outra forma pareceriam não relacionadas”, explicou AWS.
A empresa disse que os dados e descobertas da MadPot são usados para reforçar a qualidade de suas ferramentas de segurança, que incluem AWS WAF, AWS Shield, AWS Network Firewall e Amazon Route 53 Resolver DNS Firewall, e serviços de detecção e reativos como Amazon GuardDuty, AWS Security Hub e Inspetor Amazon.