Uhkatoimijat väärinkäyttävät Alibaban pilvipalveluita

Trend Micron tietoturvatutkijat ovat raportoineet havaitusta hyökkäyksestä Alibaban Aliyun-pilvipalveluita vastaan.

Trend Micron mukaan hakkerit ovat peukaloineet ja poistaneet käytöstä kiinalaisen sähköisen kaupan jättiläisen yksittäisiä osia, väärinkäyttäen vaarantuneita järjestelmiä laittomaan kryptolouhintaan .

Hyökkäyksessä käytetty räätälöity haittaohjelma peukaloi tietoturvaohjelmistoa, joka on vastuussa Alibaba elastisen laskentapalvelun pitämisestä terveenä ja turvallisena. Haittaohjelma käyttää mukautettua koodia uusien palomuurisääntöjen syöttämiseen kohteena olevaan järjestelmään ja määrittää sitten palvelimen IP-taulukot uudelleen pudottamaan "sisisiltä Alibaban vyöhykkeiltä ja alueilta" peräisin olevat paketit.

Joissakin tutkituissa haittaohjelmanäytteissä pilvitietoturvaohjelmisto yrittää tunnistaa suoritettavan haitallisen skriptin, mutta peukaloinnin seurauksena se ei onnistu ja sen sijaan suljetaan. Toisessa esimerkissä haittaohjelma yksinkertaisesti laukaisi suojausagentin asennuksen poistamisen ennen kuin se pystyi edes havaitsemaan huonon komentosarjan ja lähettämään hälytyksen.

Vielä pahempaa on, että Alibaban elastisen pilvilaskenta-ilmentymän oletuskokoonpano sallii pääkäyttäjän oikeudet. Trend Micro selittää, että muut pilvipalveluntarjoajat eivät yleensä salli käyttäjien käyttää suoraa SSH-kirjautumista oletusasetuksissaan. Alibaban pilven avulla kaikki käyttäjät voivat antaa salasanan virtuaalikoneen pääkäyttäjälle.

Tämä tarkoittaa pohjimmiltaan sitä, että muiden pilvijärjestelmien kanssa huonon toimijan olisi työskenneltävä hieman kovemmin saadakseen korkeammat oikeudet, vaikka heillä olisi jo kirjautumistiedot, mutta näin ei ole Alibaban pilvitapahtumien tapauksessa.

Alibaban pilvipalveluissa on myös mahdollisuus automaattiseen skaalaukseen kysynnän mukaan. Tämä tarkoittaa, että uhkatoimija voi yksinkertaisesti työntää kryptolouhintahaittaohjelmansa äärirajoille ja saada pilvestä merkittäviä resursseja, jotka allokoidaan automaattisesti. Tietenkin tämä johtaa myös valtavan laskun kasautumiseen vaarantuneen ämpärin lailliselle käyttäjälle, koska yleiskustannukset, vaikka ne ovat käytettävissä, ovat kalliita tietyn kynnyksen yli.

Trend Micron tässä tapauksessa antaman neuvon ydin on, että jokaisen pilvipalveluita vuokraavan tulee varata aikaa perehtyäkseen tiimiinsä käytetyn järjestelmän ja sen oletustoteutuksen yksityiskohtiin ja varata aikaa sen määrittämiseen siten, että on mahdollisimman turvallinen.