Ciche przejęcie konta w chmurze – o co właściwie chodzi
Różnica między klasycznym włamaniem a cichym przejęciem tożsamości
Klasyczny włam kojarzy się z nagłym incydentem: ransomware, wyłączone serwery, zaszyfrowane pliki, lawina alertów i telefonów od użytkowników. Skutki są widoczne, bolesne i natychmiast uruchamiają procedury kryzysowe.
Ciche przejęcie konta w chmurze wygląda inaczej. Atakujący nie niszczy, tylko korzysta. Loguje się „jak użytkownik”, używa tych samych aplikacji, tych samych API, często z tych samych krajów czy godzin, które nie budzą skrajnych podejrzeń. Zamiast hałasu mamy powolne sączenie danych, budowę przyczółków i przygotowanie terenu pod większy atak.
Technicznie mamy do czynienia z kompromitacją tożsamości w chmurze – poświadczeń do usług SaaS, IaaS czy PaaS. Same systemy działają poprawnie, serwery są „zielone” w monitoringu, a jednak ktoś obcy od dawna siedzi w organizacji.
Dlaczego konta w chmurze są idealnym celem
Konta w chmurze są bramą do większości krytycznych zasobów: poczty, dokumentów, kodu źródłowego, maszyn wirtualnych, baz danych, pipeline’ów CI/CD. Przez jedno konto M365 albo Google Workspace da się często dotrzeć do całej komunikacji firmy.
W odróżnieniu od klasycznych serwerów, chmura jest z definicji dostępna z internetu. To znaczy, że do logowania nie trzeba tuneli VPN czy wewnętrznej sieci. Dokładnie tak samo jak pracownicy, z całego świata zalogować może się napastnik.
Dodatkowo wiele organizacji łączy chmurowe SSO (Single Sign-On) z dziesiątkami aplikacji SaaS. Jedno ciche przejęcie konta w IdP (np. Azure AD, Okta, Google Identity) otwiera drzwi do CRM, DMS, ticketingu, narzędzi deweloperskich i wielu innych usług.
Dlaczego atak może trwać tygodniami bez wykrycia
Środowiska chmurowe generują ogromny szum logów. Wśród tysięcy normalnych logowań i operacji bardzo łatwo zginie jedno nietypowe zdarzenie. Jeśli polityki bezpieczeństwa są łagodne, alertów jest mało lub są źle skonfigurowane, ataki na tożsamość rozciągają się na tygodnie.
Atakujący nie musi być aktywny non stop. Często loguje się kilka razy w tygodniu, sprawdza pocztę ofiary, kopiuje wybrane dokumenty, stopniowo rozszerza uprawnienia. Jeżeli nie wykonuje masowych operacji, typowe systemy detekcji nie podniosą alarmu.
Drugim powodem jest fałszywe poczucie bezpieczeństwa związane z MFA i SSO. Skoro wdrożono uwierzytelnianie wieloskładnikowe i centralne zarządzanie tożsamością, wielu administratorów zakłada, że ryzyko jest „wystarczająco” zredukowane. To błąd – konfiguracja, logi i procesy reakcji nadal mają krytyczne znaczenie.
Przykładowy scenariusz: konto menedżera przejęte po cichu
Do skrzynki menedżera sprzedaży trafia bardzo dobrze przygotowany phishing, podszywający się pod wewnętrzną stronę resetu hasła M365. Link prowadzi do fałszywej strony logowania. Menedżer wpisuje login i hasło, a w tle przestępca od razu loguje się do prawdziwej usługi i akceptuje kolejne powiadomienie MFA (atak fatigue).
Konto zaczyna być używane z innego kraju, ale logowania są sporadyczne i zwykle w godzinach, w których menedżer faktycznie pracuje. Systemy klasyfikują to jako „nietypowe, ale nie krytyczne”. Dział IT uznaje, że to prawdopodobnie delegacja lub praca zdalna.
Przez kolejne tygodnie atakujący:
- kopiuje oferty i umowy z kluczowymi klientami,
- zakłada regułę przekierowania części korespondencji na zewnętrzne konto,
- prosi – jako menedżer – o nadanie tymczasowego dostępu do dodatkowych folderów „na potrzeby projektu”.
Nikt nie widzi niczego podejrzanego. Dopiero po kilku miesiącach, gdy konkurencja dziwnie szybko reaguje na oferty, zaczynają się pytania. Logi z tego okresu są już niepełne, a ścieżka dochodzenia mocno utrudniona.
Typowe wektory przejęcia konta w środowiskach chmurowych
Phishing ukierunkowany na logowanie do usług chmurowych
Najczęstszy punkt wejścia to nadal phishing. Różnica polega na tym, że obecnie kampanie są precyzyjnie wymierzone w logowanie do M365, Google Workspace, AWS czy Azure.
Przykładowe scenariusze:
- fałszywe powiadomienie o wygasającym haśle M365,
- ostrzeżenie o „podejrzanym logowaniu z nowego urządzenia” w Google,
- wiadomość od „działu IT” z linkiem do „nowego portalu SSO”,
- link do dokumentu na „SharePoint” wymagający ponownego logowania.
Strony phishingowe coraz lepiej imitują prawdziwe portale logowania. Często używają TLS, domen podobnych wizualnie, krótkich linków. Dodatkowo stosowane są proxy w czasie rzeczywistym, które przechwytują sesje i tokeny, a nie tylko hasła.
Ataki na MFA: fatigue, SIM swap i złośliwe aplikacje OAuth
MFA nie kończy tematu. Atakujący przenoszą się z ataku na hasło na atak na drugi składnik.
Popularne schematy:
- MFA fatigue – masowe wysyłanie powiadomień push do aplikacji uwierzytelniającej, aż użytkownik, zirytowany, kliknie „Approve” bez zastanowienia.
- SIM swap – przejęcie numeru telefonu ofiary i odbieranie kodów SMS do logowania.
- Złośliwe aplikacje OAuth – ofierze prezentuje się ekran zgody dla „bezpiecznie wyglądającej” aplikacji. Po akceptacji przestępca otrzymuje tokeny o szerokich uprawnieniach bez znajomości hasła.
Ostatni scenariusz jest szczególnie niebezpieczny w M365 i Google Workspace. Aplikacja może dostać prawo do czytania poczty, kalendarza, plików na Drive/SharePoint czy profili użytkowników. Dział IT często tego nie widzi, bo wygląda to jak zwykła aktywność użytkownika.
Wyciek haseł i credential stuffing na usługach chmurowych
Hasła z innych serwisów (fora, sklepy, portale społecznościowe) regularnie wyciekają. Ludzie recyklingują hasła. Atakujący biorą zestawy login/hasło i automatycznie testują je na popularnych usługach chmurowych.
Taki credential stuffing nie musi generować lawiny błędnych logowań, jeśli atak jest rozłożony w czasie i z wielu adresów IP. Pojedyncze udane logowanie do M365 czy Google Workspace często nie wywołuje alarmu, szczególnie przy braku warunkowego dostępu i geolimitów.
Dodatkowym elementem są sprzęgnięte tożsamości – gdy do chmury logujemy się tym samym hasłem co do AD on-prem. Wyciek z jednego systemu otwiera drogę do innego, jeśli nie ma wymuszonej separacji.
Tokeny i ciasteczka sesyjne niewidoczne dla użytkownika
Atakujący coraz częściej omijają hasła i MFA, przechwytując tokeny sesyjne i cookies. Może się to dziać przez złośliwe rozszerzenie przeglądarki, malware na stacji roboczej, proxy pośredniczące w połączeniu.
Po przechwyceniu tokenu przestępca wykonuje zapytania do API lub loguje się przez interfejs webowy, jakby był ofiarą. Użytkownik nie widzi nic podejrzanego – nie dostaje nowych powiadomień MFA, nie zmieniano hasła.
Takie ataki są szczególnie trudne do wykrycia, jeśli nie ma detekcji anomalii w kontekście zachowania (nowe IP, urządzenie, godziny) ani krótkiego czasu życia tokenów i ścisłego przypisania do urządzenia.
Błędy konfiguracyjne: brak geolimitów i warunkowego dostępu
Nawet najlepsze mechanizmy bezpieczeństwa zostają sparaliżowane przez słabą konfigurację. Typowe problemy:
- brak Conditional Access w M365/Azure – logować można się skądkolwiek, byle hasło i MFA się zgadzały,
- brak geolimitów dla kont administracyjnych i usług krytycznych,
- brak rozróżnienia wymagań bezpieczeństwa między zwykłymi kontami a kontami uprzywilejowanymi,
- domyślne polityki haseł i brak wymogu korzystania z managerów haseł.
Rezultat: dział IT polega na pojedynczym sygnałowym mechanizmie (MFA), zamiast budować wielowarstwową obronę z analizą ryzyka logowania i kontekstu sesji.
Dlaczego dział IT przeocza symptomy – uwarunkowania organizacyjne i techniczne
Przeciążenie zgłoszeniami i szum alertów
Większość zespołów IT tonie w zgłoszeniach: problemy z VPN, awarie aplikacji, reset haseł, drobne incydenty bezpieczeństwa. Do tego dochodzą alerty z dziesiątek systemów: antywirus, EDR, firewall, monitoring infrastruktury, logi z chmury.
Na tym tle pojedyncze ostrzeżenia o nietypowym logowaniu czy dziwnej aktywności w M365 łatwo wtapiają się w tło. Jeśli nie ma jasno zdefiniowanej klasy „alertów krytycznych dla tożsamości”, wiele rzeczy ląduje w kategorii „do przejrzenia kiedyś”.
Efekt uboczny: rosnący alert fatigue. Administratorzy zaczynają ignorować lub wyłączać powiadomienia, które ich zalewają, zamiast poprawić reguły i priorytety. Cichy kompromis konta może wtedy prześlizgiwać się przez system tygodniami.
Skupienie na infrastrukturze on-prem, a nie na tożsamości
W wielu organizacjach kultura i procesy bezpieczeństwa powstawały w czasach, gdy wszystko było w serwerowni. Monitoring, procedury, SLA – wszystko kręci się wokół serwerów, sieci i backupu.
Przeniesienie aplikacji do chmury odbywa się szybciej niż transformacja sposobu myślenia o bezpieczeństwie. Dział IT nadal skupia się na patchowaniu serwerów, macierzy i firewalli, podczas gdy realne ryzyko przesuwa się na kompromitację kont i tożsamości.
Bez zmiany priorytetów na poziomie zarządczym logi z chmury są traktowane jak „dodatek”. Nikt nie rozlicza zespołu z jakości monitoringu i reakcji na sygnały z IdP i usług SaaS.
Brak spójnego widoku logów z różnych usług chmurowych
Standardem jest mieszanka: M365, parę aplikacji SaaS, do tego Azure lub AWS, plus może jeszcze prywatne DC. Każde z tych środowisk ma inny format logów, inne nazwy zdarzeń, inne interfejsy raportowania.
Bez porządnego centralnego zbierania logów (SIEM lub chociaż dedykowane narzędzie w chmurze) analitycy widzą tylko fragmenty układanki. Nietypowe logowanie w M365, po którym następują zmiany w AWS IAM, może wyglądać jak dwie niepowiązane rzeczy.
To otwiera drogę dla cichych przejęć. Atakujący wykorzystuje fakt, że organizacja nie potrafi ułożyć całości obrazu: logowania, zmiany konfiguracji, anomalie w ruchu i koszty w jednym miejscu.
Mylenie komfortu użytkownika z bezpieczeństwem
Użytkownicy narzekają na wymogi bezpieczeństwa. Z perspektywy biznesu każdy dodatkowy krok – MFA, potwierdzenia, blokady geograficzne – to „utrudnianie pracy”. Dział IT często znajduje się pomiędzy młotem (ryzyko) a kowadłem (presja na wygodę).
W efekcie powstaje pokusa, by łagodzić polityki: wyłączać MFA tam, gdzie „przeszkadza”, nie stosować warunkowego dostępu, dopuszczać logowania z dowolnych krajów. Decyzje są uzasadniane wygodą, a realne zwiększenie ryzyka pozostaje niewycenione.
Ciche przejęcie konta korzysta z dokładnie tych miejsc, gdzie bezpieczeństwo zostało poświęcone w imię komfortu.
Niedoszacowanie ryzyka kont nieuprzywilejowanych
Częstym błędem jest koncentracja tylko na kontach administratorów globalnych, root czy właścicieli subskrypcji. Tymczasem ogrom szkód można zrobić, przejmując „zwykłe” konto:
- menedżera sprzedaży – wyciek ofert, umów, planów,
- HR – dostęp do danych osobowych i zarobków,
- finansów – faktury, płatności, dane bankowe,
- devopsów – dostęp do repozytoriów i pipeline’ów.
Atakujący świetnie rozumie, że konto nieuprzywilejowane jest łatwiejsze do zaatakowania i mniej chronione, a nadal daje wartościowe dane i punkt wyjścia do dalszej eskalacji. Procedury bezpieczeństwa często omijają te konta przy szczegółowej analizie logów i alertów.
Sygnały z logowań, które zbyt łatwo zignorować
Nieregularne logowania z nietypowych krajów
Nagłe logowanie z odległego kraju potrafi wygenerować ładny, czerwony alert. Problem w tym, że jeden alert łatwo wytłumaczyć: „pewnie delegacja”, „pewnie VPN”, „pewnie wakacje”. Bez procesu weryfikacji zostaje to załatwione jednym kliknięciem „zamknij”.
„Niemożliwa podróż” i logowania skaczące po mapie
Klasyczny sygnał kompromitacji to logowania z dwóch odległych lokalizacji w krótkim czasie. Jeden z Warszawy, drugi z Azji, odstęp 30 minut. Systemy M365, Google czy IdP potrafią to oznaczyć jako „impossible travel”.
Problem pojawia się, gdy w organizacji intensywnie używa się VPN-ów, ZTNA lub usług proxy. Logowania z wielu krajów są wtedy „normą”. Bez dobrego modelu zaufanych lokalizacji i rozróżnienia ruchu VPN od fizycznych logowań, alerty o niemożliwej podróży toną w tle.
Atakujący wykorzystuje ten szum. Może miesiącami logować się z jednego, stałego kraju, który i tak jest „na mapie” przez dostawcę VPN wykorzystywanego przez pracowników.
Nagłe logowania przeglądarkowe przy dominującym kliencie lokalnym
W wielu firmach użytkownicy korzystają głównie z Outlooka, Teamsów, klienta OneDrive czy aplikacji desktopowych. Logowanie przez przeglądarkę do portalu M365 lub konsoli administracyjnej praktycznie nie występuje.
Wejście na portal z nowej przeglądarki i nowego urządzenia, zwłaszcza po godzinach pracy użytkownika, to często pierwszy ślad atakującego. Widoczne jest jako pojedynczy wpis w logu „interactive sign-in”, który nie wywołuje alarmu, bo wszystko „przeszło MFA”.
Prosty filtr: użytkownik, który nie korzysta z portalu, nagle zaczyna regularnie logować się webowo. Dla działu IT to sygnał, by zapytać użytkownika, a nie domyślnie ufać zdarzeniu.
Wzorce czasowe niepasujące do profilu pracy
Typowy pracownik loguje się między 7:00 a 19:00, z niewielkimi odchyleniami. Jeśli konto nagle zaczyna żyć w nocy albo w weekendy, a wcześniej tego nie było, jest to anomalia.
Dla wielu systemów to jednak „ok”. Hasło poprawne, MFA poprawne, brak blokady. Bez włączenia prostych reguł korelujących godziny logowań z profilem stanowiska (np. księgowość nie pracuje o 2:00 w nocy) ten sygnał nie przebija się do zespołu bezpieczeństwa.
Wyjątek – projekty międzynarodowe, praca zmianowa, okres zamknięć miesiąca. Nawet wtedy jednak da się wyłapać odstępstwa: użytkownik, który nigdy nie pracował w święta, nagle loguje się w Boże Narodzenie i spędza 4 godziny w panelu administracyjnym.
Stałe błędy logowania z jednego źródła, ale na wiele kont
Większość polityk bezpieczeństwa koncentruje się na liczbie błędnych prób logowania dla jednego konta. Atakujący od dawna to omijają, rozkładając próby na wiele użytkowników.
Jeśli z jednej puli adresów IP przez kilka dni pojawiają się pojedyncze błędne logowania na dziesiątki kont, ciężko to zauważyć bez spojrzenia „od strony IP”. Taka niska intensywność rozmywa się w tle normalnych pomyłek użytkowników.
To typowy wstęp do cichego przejęcia jednego z kont – tego z recyklingowanym hasłem. Po udanym logowaniu ruch z tej samej puli IP nagle „cichnie”, a kompromitowane konto zaczyna wyglądać jak normalny użytkownik.
Zmiany wzorców urządzeń i przeglądarek
Nowe urządzenie czy nowa przeglądarka są częścią życia użytkownika. Zmiana sprzętu, aktualizacja, reinstalacja systemu – to wszystko generuje „nowe” sygnały.
Atakujący jednak często używa stałego zestawu narzędzi: konkretna przeglądarka, wersja systemu, brak klienta firmowego EDR. Jeśli konto nagle zaczyna logować się z kombinacji „Windows + nietypowa przeglądarka + brak firmowego agenta”, a dotychczas zawsze było „Windows + Chrome + agent EDR”, to powinna zapalić się lampka.
Bez budowania profili bazowych per użytkownik lub per zespół takie subtelne zmiany schodzą na dalszy plan. Widoczna jest tylko informacja „logowanie zakończone sukcesem”.
Subtelne zmiany w konfiguracji kont i uprawnień
Ciche dołączanie kont do grup z wyższymi uprawnieniami
Atakujący, który ma dostęp do konta z podstawowymi uprawnieniami, często nie zmienia roli wprost na „admin”. Zamiast tego dodaje konto do istniejącej grupy z szerokim dostępem, licząc na to, że nikt nie śledzi składu grup.
Przykład: użytkownik działu finansów zostaje dodany do grupy „SharePoint Site Owners – Projects” albo do niestandardowej grupy w Azure AD, która ma prawo do rejestrowania aplikacji. Z punktu widzenia uprawnień efekt jest duży, z punktu widzenia logów – pojedyncze zdarzenie „member added to group”.
Bez systematycznego przeglądu zmian w kluczowych grupach i bez reguł alertujących o dodaniu członków z innych działów te modyfikacje pozostają niewidoczne.
Tworzenie nowych ról niestandardowych
Chmurowe środowiska (Azure, AWS, GCP) umożliwiają tworzenie customowych ról. To wygodne, ale też daje pole do nadużyć. Zamiast podnosić konto do roli „Owner”, intruz tworzy rolę „Project-Operator-Extended”, która w praktyce ma bardzo szerokie uprawnienia.
Taka rola często nie budzi podejrzeń, jeśli nazwa brzmi technicznie i pasuje do naming convention. Nie rzuca się w oczy jak „SuperAdmin”.
Kluczowe pytania, których nikt nie zadaje: kto utworzył rolę, na czyje zlecenie, czy jest udokumentowana, czy posiada prawo do nadawania ról innym. Brak procesu przeglądu customowych ról sprawia, że mogą działać miesiącami bez formalnej akceptacji.
Niepozorne modyfikacje polityk bezpieczeństwa
Zmieniona polityka hasła, która dopuszcza krótsze minimum. Wyłączona wymuszona rotacja. Obniżony poziom „risk-based sign-in” dla danej grupy. Drobne korekty, często tłumaczone potrzebą „poprawy użyteczności”.
Atakujący, który zdobył dostęp do konta z prawem modyfikacji polityk, nie musi od razu robić rewolucji. Może zmienić jeden parametr Conditional Access dla wybranej grupy, na przykład wyłączyć wymóg MFA dla logowań z konkretnej aplikacji.
Takie zmiany bywają zupełnie pomijane w codziennym monitoringu. Jeśli raport zmian w politykach nie jest przeglądany regularnie, modyfikacja żyje własnym życiem, a konto pozostaje otwarte na nadużycia.
Przełączanie metod resetu hasła i danych kontaktowych
Dodanie numeru telefonu lub alternatywnego maila użytkownika do celów resetu hasła wygląda jak rutynowa czynność. W realnym świecie niewielu administratorów weryfikuje, czy numer +44 czy +1 faktycznie należy do pracownika z Polski.
Atakujący, zanim straci dostęp do przejętej sesji, potrafi dodać własny numer jako dodatkową metodę odzyskiwania konta. Użytkownik może tego nie zauważyć przez tygodnie.
Bez reguły „powiadom użytkownika i SOC o każdej zmianie metod odzyskiwania” to cichy, ale bardzo skuteczny sposób utrwalenia kompromitacji.
Subtelne zmiany w konfiguracji skrzynek pocztowych
Poczta jest jednym z głównych celów przejęć. Większość administratorów kojarzy ryzyko z forwardingiem na zewnętrzny adres. Atakujący coraz częściej robi coś bardziej dyskretnego.
Przykłady drobnych zmian:
- reguła skrzynki oznaczająca konkretne wiadomości jako przeczytane i przenosząca je do podfolderu,
- reguła kopiująca tylko faktury lub potwierdzenia zamówień do ukrytego folderu,
- dodanie uprawnień „Send As” dla innego konta w tej samej organizacji.
Tego typu modyfikacje rzadko generują alarmy. Skrzynka wygląda normalnie, a jedynie pojedyncze wiadomości „znikają” z głównego widoku. Ofiara zwykle zrzuca to na przypadek.

Nietypowe zachowania w aplikacjach SaaS – ślad po atakującym
Masowe pobieranie danych w krótkim czasie
Chmurowe repozytoria plików (OneDrive, SharePoint, Google Drive, Box) logują pobrania, ale domyślnie nikt ich nie analizuje pod kątem wolumenu. Pojedyncze „download” nie wygląda groźnie.
Jeśli jednak konto, które zwykle otwiera kilkadziesiąt plików dziennie, nagle pobiera kilkaset dokumentów w ciągu godziny, mamy sygnał potencjalnego exfiltration. Zwłaszcza gdy dzieje się to tuż po nietypowym logowaniu.
Bez reguł bazujących na historcznych wzorcach użytkownika system traktuje to jak „większą aktywność”, a nie jako anomalię.
Tworzenie nietypowych tokenów API i kluczy dostępowych
Aplikacje SaaS często oferują tokeny API do automatyzacji (np. Jira, GitLab, HubSpot). Użytkownicy rzadko z nich korzystają masowo, a ich tworzenie ma charakter incydentalny.
Atakujący może wygenerować token o szerokim zakresie uprawnień, z długim okresem ważności, i korzystać z niego z zewnętrznego skryptu. W logach widać tylko pojedyncze zdarzenie „token created”, a następnie „API calls” z legalnymi poświadczeniami.
Jeśli organizacja nie ma polityki rotacji tokenów i nie analizuje, które z nich są nieużywane lub nadmiernie uprawnione, takie klucze potrafią żyć latami.
Nieoczekiwane integracje zewnętrzne
Dodanie integracji typu „nowa aplikacja CRM łączy się z M365” brzmi jak typowa prośba biznesu. W praktyce bywa, że aplikacja jest trampoliną dla atakującego.
W M365/Google Workspace oznacza to udzielenie zgody na dostęp do kalendarza, poczty, kontaktów czy plików. Jeśli proces akceptacji aplikacji OAuth jest słaby, pojedynczy klik pracownika pozwala zarejestrować stałą integrację zewnętrzną.
Subtelny sygnał: integracja, która formalnie nie ma właściciela biznesowego, a mimo to ma dostęp do dużej liczby kont lub działa globalnie. Bez katalogu zatwierdzonych integracji i regularnych przeglądów lista „app consent” staje się czarną skrzynką.
Modyfikacje workflow i reguł automatyzacji
Nowoczesne SaaS-y (np. systemy HR, CRM, narzędzia do finansów) oferują rozbudowane workflow. Atakujący po przejęciu konta administratora aplikacji może zmienić zasady obiegu dokumentów lub powiadomień.
Przykłady:
- dodanie dodatkowego, ukrytego odbiorcy w procesie akceptacji faktur,
- przekierowanie kopii umów do osobnego, mało używanego projektu,
- zmiana szablonu wiadomości z danymi do przelewu.
W logach są to po prostu zmiany konfiguracji workflow. Bez dokładnych przeglądów konfiguracji aplikacji biznesowych co najmniej raz na kwartał trudno wyłapać, że zasady różnią się od stanu sprzed kilku miesięcy.
Niewielkie, ale uporczywe błędy uprawnień zgłaszane przez użytkowników
Seria pojedynczych ticketów „nie widzę projektu X”, „straciłem dostęp do folderu Y” bywa klasyfikowana jako zwykły bałagan. Czasem jednak jest efektem celowych zmian uprawnień wykonanych przez atakującego.
Intruz może odcinać części zespołu od konkretnych zasobów, aby ukryć wyciek danych lub manipulować dokumentami. Działa punktowo, tak aby zmiany wyglądały jak przypadkowe błędy administracyjne.
Jeśli nikt nie patrzy na zgłoszenia w ujęciu całościowym (np. kilka podobnych ticketów z jednego działu, dotyczących tego samego zasobu), symptomy kompromitacji znikają w masie codziennych problemów.
Konta uprzywilejowane i serwisowe – cichy koszmar w tle
Konta adminów używane do codziennej pracy
Administratorzy często korzystają z kont uprzywilejowanych jak ze zwykłych: logują się do poczty, Teamsów, korzystają z przeglądarki. Powód jest prosty – wygoda.
Przejęcie takiego konta daje atakującemu natychmiastowy, szeroki dostęp. Jednocześnie wszystkie logi aktywności wyglądają „normalnie”, bo konto jest aktywne niemal non stop.
Brak rozdzielenia kont na „admin” i „user”, brak PIM/PAM oraz zbyt szerokie prawa nadane na stałe (zamiast just-in-time) to klasyczne fundamenty cichego przejęcia.
Konta serwisowe bez właściciela i bez MFA
Konta serwisowe (integracje, schedulery, backupy) często działają w tle latami. Nikt nie wie, kto jest ich właścicielem biznesowym. Hasła bywają ustawiane „na zawsze”, MFA wyłączone, bo „to usługa, nie człowiek”.
Dla atakującego to idealne wejście. Konto jest aktywne 24/7, loguje się z serwerów wewnętrznych lub z jednego IP w chmurze, nikt go nie rusza. Zmiana zachowania, np. dodatkowe logowania z innego IP, może długo pozostać niezauważona.
Jeśli takie konto ma szerokie uprawnienia w Azure, AWS czy w SaaS, kompromitacja przybiera formę powolnego, trudnego do zauważenia drenażu danych lub modyfikacji konfiguracji.
Klucze dostępu i sekrety poza kontrolą
Wiele kont serwisowych działa nie na hasłach, ale na kluczach API, certyfikatach, sekretnych tokenach. Często są one przechowywane w kodzie, plikach konfiguracyjnych, a nawet w dokumentach współdzielonych.
Po wycieku repoztytorium Git, pliku konfiguracyjnego czy backupu, atakujący zyskuje cichy dostęp do kont serwisowych. Żadnej interakcji MFA, żadnego maila o logowaniu, tylko ruch API między systemami.
Bez centralnego zarządzania sekretami (Key Vault, Secrets Manager) i bez rotacji kluczy o ograniczonym zasięgu, takie poświadczenia stają się trwałym tylnym wejściem.
Zapomniane role z szerokim zakresem uprawnień
W środowiskach chmurowych często tworzy się tymczasowe role: „na projekt”, „na rollout”, „na migrację”. Po zakończeniu prac role zostają, a ich zakres bywa znacznie szerszy niż minimum.
Atakujący, który przejmie konto przypisane do takiej roli, zyskuje dostęp wykraczający poza jego formalną funkcję. Dla systemu to wciąż „legalna” kombinacja: konto + przypisana rola.
Bez regularnego przeglądu niestandardowych ról (custom roles) i ich przypisań trudno wychwycić, że dawno nieużywana rola nagle staje się aktywna i służy do działań administracyjnych.
„Tymczasowe” nadania uprawnień, które nigdy nie wygasły
Scenariusz jest prosty: ktoś poprosił o podniesienie uprawnień „na tydzień, bo audyt/migracja”. System nie wymusza czasu życia, więc prawa pozostają na stałe.
Po miesiącach taki użytkownik staje się atrakcyjnym celem. Ma więcej niż powinien, ale formalnie jego dostęp wygląda „zatwierdzony”. Eskalacja w SOC nie nastąpi, bo nie ma przekroczenia polityki – polityka została faktycznie poluzowana wcześniej.
Brak przeglądów recertyfikacyjnych dostępu (access review) tworzy przestrzeń dla cichej eskalacji przez konta, które nigdy nie były planowane jako uprzywilejowane.
Anomalie w ruchu sieciowym i billingu chmurowym
Niewielki, ale stały wzrost ruchu wychodzącego
Głośne incydenty kojarzą się z masowym wyciekiem danych. W praktyce częściej pojawia się powolne, regularne wysysanie informacji.
Jeśli pojedynczy projekt, bucket lub storage account notuje mały, lecz systematyczny wzrost ruchu wychodzącego, łatwo to przypisać „rozwojowi biznesu”. Tymczasem może to być dobrze zakamuflowany kanał exfiltracji.
Bez bazowej linii (baseline) ruchu dla kluczowych zasobów i alertów na długotrwałe odchylenia, monitoring skupia się na skokach, a nie na „powolnym gotowaniu żaby”.
Nowe regiony i strefy dostępności „z niczego”
Włączenie nowego regionu w AWS/Azure/GCP często pociąga za sobą koszty: storage, egress, instancje. Atakujący może uruchamiać zasoby w regionach, których organizacja nie używa produkcyjnie.
Ruch sieciowy do egzotycznych regionów, gdzie firma nie ma użytkowników, jest jednym z pierwszych subtelnych sygnałów. W billingu widać linijkę kosztową, ale kwota na początku jest mała, więc rzadko przykuwa uwagę.
Jeśli nie ma polityki blokującej nieużywane regiony i dashboardu „koszty według regionu z odchyleniami miesiąc do miesiąca”, nowe strefy pozostaną długo w tle.
Nietypowe wzorce użycia usług sieciowych
Atakujący rzadko korzysta z tych samych usług w ten sam sposób, co zespół deweloperski. Częściej używa podstawowych klocków: prostych maszyn, load balancerów, tuneli VPN.
Przykładowe sygnały:
- nagłe uruchomienie wielu małych instancji w VPC/VNet, które historycznie służyło tylko do jednego systemu,
- konfiguracja nowych reguł NAT lub bram VPN bez powiązanego change requestu,
- dodanie publicznego IP do zasobu, który zawsze działał wyłącznie w sieci prywatnej.
Każde z tych zdarzeń osobno może wyglądać jak zwykła operacja administracyjna. Problem zaczyna się, gdy nikt nie zestawia zmian z kontekstem logowań i właścicielstwa zasobów.
Mikroanomalie w billingu, które rozmywają się w całości
Całkowity koszt chmury wzrósł o kilka procent – dla CFO to normalna fluktuacja. Dla analityka bezpieczeństwa to może być sygnał, że ktoś uruchomił dodatkowe zasoby.
Szczególnie zdradliwe są:
- nowe, mało znaczące pozycje kosztowe dla usług, których organizacja nie planowała używać (np. niszowe usługi AI, dziwne typy storage),
- rosnące koszty egressu z jednego konkretnego storage/bucketu,
- koszty usług sieciowych w subskrypcjach/projektach oznaczonych jako „testowe” lub „depricated”, które powinny być wygaszane.
Bez wspólnej pracy FinOps i zespołu bezpieczeństwa billing pozostaje jedynie narzędziem do optymalizacji kosztów, a nie czujnikiem kompromitacji.
„Przyklejone” adresy IP i podejrzane peerings
Trwałe połączenia sieciowe między środowiskiem chmurowym a zewnętrznym adresem/ASN to klasyczne miejsce na tylną furtkę. Szczególnie gdy peering lub tunel VPN powstał „na potrzeby projektu”, który dawno się skończył.
Atakujący może przejąć infrastrukturę po drugiej stronie tunelu (np. źle zabezpieczony serwer partnera) i używać jej jako bramy do zasobów w chmurze. Dla logów ruchu wszystko wygląda legalnie – to znane IP.
Bez katalogu aktywnych połączeń międzyśrodowiskowych i okresowej weryfikacji, czy dany tunel wciąż ma właściciela biznesowego, takie kanały zostają na lata jako gotowa ścieżka dla intruza.
Nieudane, rozproszone próby tworzenia zasobów
Nie wszyscy atakujący od razu wiedzą, jakie polityki obowiązują w subskrypcji. Często „sondują” środowisko, próbując tworzyć różne typy zasobów, aż coś się uda.
Seria nieudanych prób utworzenia VM, storage, nowych kont serwisowych czy endpointów API w krótkim czasie, wykonywana z konta, które historycznie ma mało operacji administracyjnych, powinna budzić niepokój.
Jeśli te błędy są rejestrowane tylko w logach aktywności bez powiązanej analityki, znikają wśród zwykłych pomyłek administracyjnych. SOC widzi co najwyżej pojedyncze „Denied by policy”.
Najważniejsze wnioski
- Ciche przejęcie konta w chmurze nie powoduje widocznej awarii – systemy działają normalnie, a atakujący przez długi czas korzysta z usług jak zwykły użytkownik, powoli wynosząc dane i budując przyczółki.
- Konto w chmurze (M365, Google Workspace, IdP typu Azure AD/Okta) jest bramą do poczty, dokumentów, kodu, CI/CD i dziesiątek aplikacji SaaS, więc kompromitacja jednej tożsamości często oznacza dostęp do całego ekosystemu firmy.
- Atak jest trudny do wykrycia, bo ginie w szumie logów, logowania wyglądają „prawie normalnie”, a zbyt łagodne lub źle ustawione polityki bezpieczeństwa i alerty nie podnoszą alarmu przy sporadycznej, rozłożonej w czasie aktywności.
- Samo wdrożenie MFA i SSO nie wystarcza – błędna konfiguracja, brak monitoringu logów i słabe procedury reakcji tworzą fałszywe poczucie bezpieczeństwa, mimo że tożsamości nadal mogą być cicho przejmowane.
- Phishing ukierunkowany na logowanie do usług chmurowych (M365, Google, AWS, Azure) jest dziś głównym wektorem wejścia; strony logowania są dobrze podrobione, często działają przez proxy i przechwytują nie tylko hasła, ale też sesje i tokeny.
- Ataki na MFA – fatigue (spam powiadomień push), SIM swap oraz złośliwe aplikacje OAuth – pozwalają obejść drugi składnik, a zgoda na „niewinną” aplikację może dać przestępcy szerokie uprawnienia do poczty i plików bez znajomości hasła.
Opracowano na podstawie
- Mitigating Attacks on Identity Infrastructure. Cybersecurity and Infrastructure Security Agency (CISA) (2022) – Zalecenia dot. ochrony tożsamości, kont chmurowych i IdP
- Microsoft 365 Security Best Practices. Microsoft – Rekomendacje zabezpieczania kont M365, MFA, logowania i monitoringu
- OAuth 2.0 Threat Model and Security Considerations (RFC 6819). Internet Engineering Task Force (2013) – Zagrożenia i dobre praktyki dla OAuth, w tym złośliwe aplikacje
- NIST Special Publication 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management. National Institute of Standards and Technology (2017) – Wytyczne dot. uwierzytelniania, haseł, MFA i zarządzania tożsamością






