Trussel Skuespillere Misbrug Alibaba Cloud Services

Sikkerhedsforskere med Trend Micro har rapporteret et observeret angreb på Alibabas cloud computing-tjenester, kendt som Aliyun.

Ifølge Trend Micro har hackere manipuleret med og deaktiveret separate forekomster af den kinesiske e-handelsgigant og misbrugt de kompromitterede systemer til ulovlig kryptomining.

Den brugerdefinerede malware, der blev brugt i angrebet, manipulerer med sikkerhedssoftwaren, der er ansvarlig for at holde Alibaba elastiske computertjeneste sund og sikker. Malwaren bruger tilpasset kode til at injicere nye firewall-regler på det målrettede system, og omkonfigurerer derefter serverens IP-tabeller til fuldstændigt at droppe pakker, der stammer fra "interne Alibaba-zoner og -områder".

I nogle af de undersøgte malware-eksempler forsøger cloud-sikkerhedssoftwaren at identificere det ondsindede script, der udføres, men som et resultat af manipulationen lykkes det ikke at gøre det og bliver lukket ned i stedet. I en anden prøve udløste malwaren simpelthen afinstallationen af sikkerhedsagenten, før den overhovedet kunne opdage det dårlige script og sende en advarsel.

For at gøre tingene værre tillader standardkonfigurationen af Alibaba elastiske cloud computing-instans rodadgang. Trend Micro forklarer, at andre cloud-tjenesteudbydere normalt ikke tillader brugere at bruge direkte SSH-login i deres standardopsætning. Med Alibabas sky er alle brugere i stand til at give en adgangskode til root-adgangsbrugeren i den virtuelle maskine.

Dette betyder i bund og grund, at mens med andre cloud-systemer, ville en dårlig skuespiller skulle arbejde en del hårdere for at opnå forhøjede privilegier, selvom de allerede havde login-legitimationsoplysningerne, men dette er ikke tilfældet med Alibabas cloud-forekomster.

Alibabas skytjenester inkluderer også muligheden for automatisk skalering afhængig af efterspørgsel. Dette betyder, at en trusselsaktør simpelthen kunne presse deres crypto-mining malware til det yderste og hente betydelige ressourcer fra skyen, allokeret automatisk. Dette vil naturligvis også resultere i en akkumulering af en massiv regning for den legitime bruger af den kompromitterede spand, da de overhead-ressourcer, selvom de er tilgængelige, er dyre over en vis tærskel.

Essensen af rådene fra Trend Micro i dette tilfælde er, at enhver, der lejer cloud computing-tjenester, bør tage sig tid til at gøre deres team bekendt med det anvendte system og dets standardimplementering og derefter tage sig tid til at konfigurere det på en måde, som er så sikker som muligt.