Eliminazione Istanze Cloud: Modify Cloud Compute Infrastructure - Delete Cloud Instance (T1578.003)

Simulare l'eliminazione controllata di istanze cloud richiede attenzione ai dettagli per evitare danni accidentali. In ambiente AWS, il comando base per terminare un'istanza è sorprendentemente semplice:

aws ec2 terminate-instances --instance-ids i-1234567890abcdef0

Per Azure, l'equivalente richiede specificare il resource group:

az vm delete --resource-group MyResourceGroup --name MyVM --yes

La simulazione diventa interessante quando si replica il comportamento di LAPSUS$, che ha dimostrato come l'eliminazione massiva possa paralizzare un'organizzazione. Per testare questo scenario in laboratorio, create prima diverse istanze di test con tag specifici, poi eliminate selettivamente quelle con determinati tag per simulare un attacco mirato.

Un approccio più sofisticato prevede l'automazione con script Python che utilizzano boto3 per AWS. Questo permette di simulare pattern di eliminazione che mimano comportamenti APT reali: eliminazione graduale per evitare alert, targeting specifico di istanze critiche, o eliminazione sincronizzata con altre attività malevole.

Il testing dovrebbe includere anche la verifica dei log generati. CloudTrail in AWS registra ogni chiamata API, incluse le terminazioni. Verificate che questi log siano correttamente inoltrati a sistemi esterni prima dell'eliminazione, altrimenti perderete visibilità completa dell'attacco.

La detection strategy DET0084 fornisce indicazioni precise per identificare eliminazioni sospette. Il segreto sta nel correlare eventi multipli invece di alertare su ogni singola eliminazione.

Configurate alert quando un'istanza viene eliminata entro pochi minuti dalla creazione. Questo pattern è tipico di attaccanti che creano risorse temporanee per operazioni malevole. In CloudTrail, cercate sequenze di RunInstances seguite rapidamente da TerminateInstances dallo stesso principal.

L'analisi del contesto utente è fondamentale. Un account di servizio che improvvisamente inizia a eliminare istanze dovrebbe generare un alert immediato. Create baseline del comportamento normale per ogni identity IAM e alertate sulle deviazioni.

Storm-0501 ha dimostrato l'efficacia delle eliminazioni massive in Azure. Per rilevare questi pattern, monitorate il rate di eliminazione: più di 3 eliminazioni in 5 minuti da parte dello stesso utente dovrebbero triggerare una verifica immediata.

La geolocalizzazione delle richieste API aggiunge un layer di detection potente. Se la vostra infrastruttura opera solo in us-east-1 e vedete eliminazioni da ap-southeast-2, investigate immediatamente. Utilizzate i campi sourceIPAddress in CloudTrail o caller_ip_address negli Azure Activity Logs.

I falsi positivi derivano principalmente da processi di autoscaling e deployment automatizzati. Whitelistate questi account ma monitorate comunque anomalie nei loro pattern operativi.

Ricostruire una timeline dopo eliminazioni cloud richiede di guardare oltre l'istanza eliminata. I log di CloudTrail o Azure Activity persistono anche dopo la terminazione dell'istanza, diventando la vostra fonte primaria.

Iniziate mappando tutte le azioni dell'eventName TerminateInstances o equivalenti Azure. Correlate con l'identità del caller, timestamp e instanceId. Questo vi darà il "quando" e il "chi" dell'eliminazione.

La chiave forensica sta nel recuperare snapshot o backup creati prima dell'eliminazione. Spesso gli attaccanti creano snapshot per esfiltrare dati prima di eliminare l'istanza originale. Cercate pattern di CreateSnapshot seguito da TerminateInstances - questo suggerisce preparazione metodica all'eliminazione.

Per AWS, il campo responseElements nei log CloudTrail contiene dettagli preziosi sullo stato dell'istanza al momento della terminazione. In Azure, i correlationId permettono di collegare azioni multiple nella stessa sessione di attacco.

Un trucco avanzato: verificate se esistono AMI o immagini custom create dall'istanza eliminata. Gli attaccanti potrebbero aver clonato l'istanza per analisi offline. Query come DescribeImages con il parametro owner possono rivelare queste tracce nascoste.

La timeline deve includere anche eventi pre-eliminazione: modifiche ai security group, attach di volumi EBS, o cambiamenti nelle IAM policy che hanno permesso l'eliminazione.

LAPSUS$ ha rivoluzionato l'uso di questa tecnica trasformandola in arma psicologica. Il gruppo elimina sistemi critici per forzare le vittime a negoziare, sapendo che il panic mode impedisce risposte razionali. Il loro modus operandi prevede eliminazioni mirate durante weekend o festività quando il personale IT è ridotto.

Storm-0501 mostra un approccio più sistematico, con eliminazioni massive di data store Azure. Questo gruppo opera con precisione chirurgica, mappando prima l'intera infrastruttura cloud per identificare i nodi critici. Le loro campagne mostrano una comprensione profonda delle architetture cloud moderne.

Il pattern geografico è interessante: entrambi i gruppi operano da regioni che cambiano frequentemente, utilizzando VPN e proxy per offuscare l'origine. Tuttavia, i timestamp delle operazioni rivelano spesso fusi orari consistenti che tradiscono la vera localizzazione degli operatori.

L'overlap negli strumenti è minimo - questi gruppi preferiscono utilizzare le API native del cloud provider piuttosto che tool custom. Questa scelta riduce gli indicatori di compromissione e rende la detection più complessa.

La previsione per il futuro punta verso eliminazioni sempre più sofisticate: targeting di istanze di disaster recovery, eliminazione sincronizzata multi-cloud, e possibile weaponizzazione di funzionalità di auto-scaling per causare eliminazioni massive automatiche.

Framework MITRE ATT&CK T1578.003. Documentazione delle campagne di LAPSUS$ e Storm-0501. AWS CloudTrail e Azure Activity Logs per strategie di detection. Best practices IAM per cloud security.