Furto di Dati dal Cloud Storage: Data from Cloud Storage (T1530)

L'obiettivo di un esercizio red team su T1530 è dimostrare quanto sia facile — e silenzioso — accedere a dati cloud quando le policy sono deboli. Il primo passo è sempre l'enumerazione: capire quali risorse di storage esistono e con quali permessi.

Per ambienti AWS, Pacu (open source) è il framework di riferimento. È un tool di exploitation AWS scritto in Python che automatizza l'enumerazione di bucket S3, policy IAM e servizi di storage. Una volta installato, la sequenza operativa parte dall'importazione delle chiavi compromesse e prosegue con l'enumerazione:

pacu --new-session redteam-test

All'interno della sessione Pacu, si impostano le credenziali ottenute e si lancia il modulo di enumerazione S3:

run s3__download_bucket

Questo modulo elenca i bucket accessibili e ne scarica il contenuto. Prima dell'esfiltrazione conviene mappare i permessi con il modulo iam__enum_permissions per comprendere l'ampiezza dell'accesso ottenuto.

In ambienti Kubernetes con accesso a cloud provider, Peirates (open source) è progettato per il pentesting di cluster containerizzati. Può estrarre il contenuto di bucket S3 e recuperare token di service account da bucket kOps sia su Google Cloud Storage che su S3. Il tool si esegue direttamente da un pod compromesso, rendendo la raccolta dati parte naturale del movimento laterale in ambiente containerizzato.

Per ambienti Microsoft 365 e Azure AD, AADInternals (open source) è un modulo PowerShell che consente di interagire con le API di Azure AD in modi non previsti dalle interfacce standard. Per raccogliere file da OneDrive di un utente target:

Install-Module AADInternals Import-Module AADInternals Get-AADIntOneDriveFiles -UserPrincipalName target@dominio.com

Oltre ai tool specifici, la CLI nativa di ogni cloud provider è il miglior alleato per dimostrare il rischio. Su AWS:

aws s3 ls s3://nome-bucket --recursive aws s3 cp s3://nome-bucket/file-sensibile.csv ./loot/

Su Azure, l'equivalente usa la CLI az:

az storage blob list --container-name target-container --account-name storageaccount

Un test complementare prevede la verifica di bucket pubblici usando tool come ScoutSuite (open source), che esegue audit multi-cloud e segnala misconfiguration di accesso su S3, Azure Storage e GCP. Per simulare lo scenario di credenziali trapelate, si possono cercare chiavi AWS nei repository con truffleHog (open source), che analizza la cronologia dei commit alla ricerca di secret esposti.

La detection di T1530 ruota attorno a un principio chiave: non puoi monitorare l'intenzione dell'attaccante, ma puoi individuare pattern di accesso anomali ai dati cloud. Le tre analitiche di detection fornite coprono gli scenari principali — IaaS, SaaS e suite Office — e vanno calibrate con attenzione per evitare il rumore.

Comportamento IaaS — Spike di accesso da identità nuove (AN1328). La log source primaria è AWS CloudTrail, combinata con VPC Flow Logs. L'analisi cerca un picco di operazioni GetObject o ListBucket da un utente o ruolo IAM creato di recente, seguito da trasferimento dati verso IP esterni. Il parametro di tuning critico è la finestra temporale di correlazione: un valore iniziale di 10 minuti tra l'accesso agli oggetti e il flusso di rete verso IP esterni è un buon punto di partenza. Mantieni aggiornata una allowlist di IP aziendali e di partner attesi per ridurre i falsi positivi. L'alert va arricchito con il contesto IAM: se il ruolo che accede al bucket è stato assunto tramite AssumeRole da un account esterno, la priorità sale immediatamente.

Comportamento SaaS — Token OAuth sospetto con download massivo (AN1329). Qui la fonte è il log unificato di Microsoft 365. Il pattern è l'autorizzazione di un'app OAuth esterna — spesso con nomi che richiamano tool di sync come rclone, mega o varianti di "backup" — seguita da un volume anomalo di download da OneDrive o Google Drive. Il tuning si basa su due leve: un pattern matching sui nomi delle app registrate e una soglia di volume, ad esempio 100 MB scaricati in un intervallo breve. Attenzione ai falsi positivi da tool di backup legittimi: la whitelist delle app OAuth autorizzate è fondamentale.

Comportamento Office Suite — Link condivisi e download a raffica (AN1330). I log di SharePoint e i sign-in logs di Azure rivelano quando un account interno accede a link di condivisione con visibilità esterna o anonima, seguito da un burst di download. La soglia suggerita è oltre 50 file in meno di 5 minuti. Va verificato anche lo scope di visibilità dei link: se un link è configurato come "anyone with the link", il rischio è intrinsecamente più alto.

Trasversalmente, abilita il logging delle operazioni di lettura sugli storage cloud — in AWS è il Data Event logging di CloudTrail, che non è attivo di default e ha un costo aggiuntivo. Senza questi log, gran parte della visibilità su T1530 semplicemente non esiste. Configura alert anche per modifiche alle policy di accesso dei bucket o dei container: come documentato per Storm-0501, la modifica di risorse Azure Storage tramite Microsoft.Storage/storageAccounts/write per esporre account precedentemente non accessibili è un indicatore diretto di preparazione all'esfiltrazione.

L'analisi forense su T1530 è prevalentemente cloud-nativa: gli artefatti risiedono nei log delle piattaforme, non sui dischi degli endpoint. La sfida è ricostruire la catena di eventi che va dall'acquisizione dell'accesso fino al download dei dati.

Il punto di partenza su AWS è CloudTrail. Le API da cercare sono GetObject, ListBucket, PutBucketPolicy e GetBucketAcl. Ogni evento contiene l'identità IAM (utente, ruolo o credenziali temporanee), l'IP sorgente, il timestamp e il bucket target. Correla gli eventi AssumeRole con le successive operazioni sullo storage: se un ruolo è stato assunto da un'entità esterna e poi ha scaricato dati, hai tracciato il percorso dell'attaccante. I VPC Flow Logs completano il quadro mostrando i flussi di rete verso destinazioni esterne.

Su Azure, i log diagnostici dello Storage Account registrano le operazioni di lettura e scrittura. Cerca in particolare l'operazione Microsoft.Storage/storageAccounts/write — usata da Storm-0501 per modificare la configurazione di accesso degli account storage. I sign-in logs di Azure AD rivelano da dove e come l'identità si è autenticata. Se è stata usata un'applicazione OAuth, i log di audit di Azure AD mostrano la concessione del consenso e i permessi delegati.

Per Microsoft 365 e OneDrive — ambiente sfruttato sia da HAFNIUM che durante la campagna C0027 di Scattered Spider — il Unified Audit Log è la fonte principale. Filtra per operazioni FileDownloaded, FileAccessed e SharingSet. Durante C0027, Scattered Spider cercava specificamente documenti relativi a VPN, MFA enrollment e guide per nuovi assunti: questo tipo di ricerca lascia traccia negli eventi di search query se il logging è configurato correttamente.

Gli artefatti endpoint sono secondari ma non irrilevanti. Se l'attaccante ha usato la CLI AWS o Azure da una workstation compromessa, cerca nella cronologia dei comandi:

• Su Linux: ~/.bash_history o ~/.aws/cli/cache/ per i token temporanei
• Su Windows: il file di credenziali in %USERPROFILE%.aws\credentials e i log PowerShell (EventID 4104) per invocazioni di AADInternals o dei cmdlet Az

Per ricostruire la timeline, allinea i timestamp tra le diverse fonti cloud — attenzione ai fusi orari, CloudTrail usa UTC di default mentre i log M365 possono variare. Strumenti come Timesketch (open source) consentono di importare e correlare log eterogenei in un'unica timeline investigativa. Per l'acquisizione e il parsing dei log CloudTrail, Athena — il servizio di query di AWS — permette interrogazioni SQL dirette sui file JSON compressi in S3.

Cinque gruppi APT documentati sfruttano T1530, con profili operativi e motivazioni distinti che rivelano pattern predittivi utili.

Fox Kitten (G0117) è un gruppo legato all'Iran che ha ottenuto file direttamente dalle istanze di cloud storage delle vittime. Il suo modus operandi tipico prevede lo sfruttamento di vulnerabilità su appliance perimetrali (VPN, firewall) come vettore iniziale, per poi spostarsi lateralmente verso le risorse cloud. Per l'analista TI, la presenza di Fox Kitten in un settore target suggerisce di verificare immediatamente l'esposizione delle istanze di storage accessibili dalle reti compromesse.

APT42 (G1044), anch'esso attribuito all'Iran, si concentra sulla raccolta dati da ambienti Microsoft 365. La sovrapposizione geografica con Fox Kitten è significativa, ma il targeting diverge: APT42 predilige operazioni di sorveglianza e raccolta intelligence su individui specifici, spesso dissidenti, giornalisti e attivisti. La raccolta da M365 si inserisce in un pattern più ampio di credential harvesting mirato.

Storm-0501 (G1053) rappresenta un'evoluzione nella sofisticazione: non si limita a leggere dati dallo storage, ma modifica attivamente la configurazione delle risorse Azure per esporre account precedentemente non raggiungibili da remoto. Questa capacità di manipolazione dell'infrastruttura cloud — tramite l'operazione Microsoft.Storage/storageAccounts/write — eleva il livello di minaccia perché trasforma risorse sicure in punti di esfiltrazione.

HAFNIUM (G0125), associato alla Cina, ha esfiltrato dati da OneDrive. Il gruppo è noto per lo sfruttamento di vulnerabilità in prodotti Microsoft e la raccolta dati da OneDrive si inserisce coerentemente in una catena di attacco che parte dall'accesso a infrastrutture Exchange o Azure AD compromesse.

Scattered Spider (G1015) è il gruppo più documentato su questa tecnica, con una campagna specifica — C0027 — che tra giugno e dicembre 2022 ha colpito aziende di telecomunicazioni e BPO. Durante questa campagna, il gruppo ha esplorato ambienti OneDrive cercando informazioni operative: guide VPN, procedure MFA, istruzioni per l'help desk. Questo pattern rivela un uso della Collection non per esfiltrazione immediata, ma come fase preparatoria per approfondire l'accesso. Scattered Spider è un attore a motivazione finanziaria che combina social engineering avanzato e SIM swapping, cercando di sfruttare l'accesso agli ambienti vittime per raggiungere reti di operatori mobili.

Il trend trasversale è chiaro: T1530 non è monopolio di un singolo profilo di minaccia. Attori state-sponsored iraniani, cinesi e gruppi cybercriminali convergono tutti sullo storage cloud come obiettivo di raccolta. Il denominatore comune è l'abuso di credenziali valide e misconfigurazioni, non exploit tecnici sofisticati. Per il TI officer, questo significa che la priorità difensiva è sull'igiene delle configurazioni cloud e sul monitoraggio degli accessi anomali, più che sulla ricerca di malware specifici.

Framework MITRE ATT&CK: T1530, TA0009, G0117, G1053, G1044, G0125, G1015, S0683, S1091, S0677, C0027, M1018, M1041, M1022, M1037, M1047, M1032, DET0484 (AN1328, AN1329, AN1330). Tool di detection e offensive: Pacu, Peirates, AADInternals, ScoutSuite, truffleHog, Timesketch. Integrato con conoscenza professionale per tool e procedure operative.