Aktéři hrozeb zneužívají cloudové služby Alibaba

Bezpečnostní výzkumníci z Trend Micro ohlásili pozorovaný útok na cloudové služby Alibaba, známé jako Aliyun.

Podle Trend Micro hackeři manipulovali a deaktivovali jednotlivé instance čínského e-commerce giganta a zneužívali kompromitované systémy k nelegální těžbě kryptoměn .

Vlastní malware použitý při útoku narušuje bezpečnostní software zodpovědný za udržování elastické výpočetní služby Alibaba zdravé a bezpečné. Malware používá vlastní kód k vložení nových pravidel brány firewall do cílového systému a poté překonfiguruje tabulky IP serveru tak, aby zcela zahodily pakety pocházející z „interních zón a oblastí Alibaba".

V některých zkoumaných vzorcích malwaru se cloudový bezpečnostní software pokouší identifikovat spouštěný škodlivý skript, ale v důsledku manipulace se mu to nepodaří a místo toho se vypne. V jiném příkladu malware jednoduše spustil odinstalaci bezpečnostního agenta dříve, než mohl vůbec detekovat špatný skript a odeslat výstrahu.

Aby toho nebylo málo, výchozí konfigurace instance elastického cloud computingu Alibaba umožňuje přístup root. Trend Micro vysvětluje, že ostatní poskytovatelé cloudových služeb obvykle uživatelům ve výchozím nastavení neumožňují používat přímé přihlašování SSH. S cloudem Alibaba mohou všichni uživatelé zadat heslo uživateli s přístupem root ve virtuálním počítači.

To v podstatě znamená, že zatímco u jiných cloudových systémů by špatný hráč musel pracovat o něco tvrději, aby získal zvýšená oprávnění, i když už měl přihlašovací údaje, ale to není případ cloudových instancí Alibaba.

Cloudové služby Alibaba zahrnují také možnost automatického škálování v závislosti na poptávce. To znamená, že aktér ohrožení by mohl jednoduše dohnat svůj malware pro těžbu kryptoměn na limit a získat značné zdroje z cloudu, které by byly přidělovány automaticky. To samozřejmě povede také k nahromadění masivního účtu pro legitimního uživatele kompromitovaného segmentu, protože režijní zdroje, i když jsou k dispozici, jsou nákladné nad určitou prahovou hodnotu.

Podstatou rady poskytnuté společností Trend Micro v tomto případě je, že každý, kdo si pronajímá služby cloud computingu, by měl věnovat čas tomu, aby seznámil svůj tým se specifiky používaného systému a jeho výchozí implementace, a poté si najít čas na jeho konfiguraci tak, aby je co nejbezpečnější.