Gli attori delle minacce abusano dei servizi cloud di Alibaba
I ricercatori di sicurezza di Trend Micro hanno segnalato un attacco osservato ai servizi di cloud computing di Alibaba, noti come Aliyun.
Secondo Trend Micro, gli hacker hanno manomesso e disabilitato istanze separate del gigante dell'e-commerce cinese, abusando dei sistemi compromessi per il mining illegale di criptovalute.
Il malware personalizzato utilizzato nell'attacco altera il software di sicurezza responsabile di mantenere sano e sicuro il servizio di elaborazione elastica Alibaba. Il malware utilizza un codice personalizzato per iniettare nuove regole del firewall sul sistema di destinazione, quindi riconfigura le tabelle IP del server per eliminare completamente i pacchetti provenienti da "zone e regioni interne di Alibaba".
In alcuni dei campioni di malware esaminati, il software di sicurezza cloud tenta di identificare lo script dannoso in esecuzione, ma a causa della manomissione non riesce a farlo e viene invece chiuso. In un altro esempio, il malware ha semplicemente attivato la disinstallazione dell'agente di sicurezza prima ancora che potesse rilevare lo script errato e inviare un avviso.
A peggiorare le cose, la configurazione predefinita dell'istanza di cloud computing elastico Alibaba consente l'accesso root. Trend Micro spiega che altri fornitori di servizi cloud di solito non consentono agli utenti di utilizzare l'accesso diretto SSH nella loro configurazione predefinita. Con il cloud di Alibaba, tutti gli utenti sono in grado di fornire una password all'utente di accesso root all'interno della macchina virtuale.
Ciò significa essenzialmente che, mentre con altri sistemi cloud, un cattivo attore dovrebbe lavorare un po' di più per ottenere privilegi elevati anche se disponeva già delle credenziali di accesso, ma questo non è il caso delle istanze cloud di Alibaba.
I servizi cloud di Alibaba includono anche l'opzione per il ridimensionamento automatico in base alla domanda. Ciò significa che un attore di minacce potrebbe semplicemente spingere al limite il proprio malware per il mining di criptovalute e prelevare risorse significative dal cloud, allocate automaticamente. Naturalmente, ciò comporterà anche l'accumulo di una bolletta enorme per l'utente legittimo del bucket compromesso, poiché le risorse generali, sebbene disponibili, sono costose oltre una certa soglia.
L'essenza del consiglio fornito da Trend Micro in questo caso è che chiunque noleggi servizi di cloud computing dovrebbe dedicare del tempo a familiarizzare il proprio team con le specifiche del sistema utilizzato e la sua implementazione predefinita, quindi dedicare del tempo a configurarlo in modo che è il più sicuro possibile.