Dreigingsactoren misbruiken Alibaba Cloud Services

Beveiligingsonderzoekers van Trend Micro hebben een waargenomen aanval gemeld op Alibaba's cloud computing-services, bekend als Aliyun.

Volgens Trend Micro hebben hackers geknoeid met afzonderlijke exemplaren van de Chinese e-commercegigant en deze uitgeschakeld, waarbij ze de gecompromitteerde systemen misbruiken voor illegale cryptomining.

De aangepaste malware die bij de aanval werd gebruikt, knoeit met de beveiligingssoftware die verantwoordelijk is voor het gezond en veilig houden van de Alibaba Elastic Computing-service. De malware gebruikt aangepaste code om nieuwe firewallregels op het getargete systeem te injecteren en configureert vervolgens de IP-tabellen van de server om pakketten die afkomstig zijn van "interne Alibaba-zones en -regio's" volledig te verwijderen.

In sommige van de onderzochte malwarevoorbeelden probeert de cloudbeveiligingssoftware het kwaadaardige script te identificeren dat wordt uitgevoerd, maar als gevolg van de manipulatie slaagt het daar niet in en wordt het in plaats daarvan afgesloten. In een ander voorbeeld activeerde de malware eenvoudigweg de verwijdering van de beveiligingsagent voordat deze zelfs het slechte script kon detecteren en een waarschuwing kon verzenden.

Om het nog erger te maken, zorgt de standaardconfiguratie van de Alibaba Elastic Cloud Computing-instantie voor root-toegang. Trend Micro legt uit dat andere cloudserviceproviders gebruikers meestal niet toestaan om directe SSH-aanmelding te gebruiken in hun standaardconfiguratie. Met Alibaba's cloud kunnen alle gebruikers een wachtwoord geven aan de root-toegangsgebruiker binnen de virtuele machine.

Dit betekent in wezen dat, terwijl bij andere cloudsystemen, een slechte acteur behoorlijk wat harder zou moeten werken om verhoogde privileges te krijgen, zelfs als ze al de inloggegevens hadden, maar dit is niet het geval met de cloudinstanties van Alibaba.

De clouddiensten van Alibaba bevatten ook de optie voor automatisch schalen, afhankelijk van de vraag. Dit betekent dat een dreigingsactor zijn cryptomining-malware eenvoudig tot het uiterste kan pushen en aanzienlijke bronnen uit de cloud kan halen, die automatisch worden toegewezen. Dit zal natuurlijk ook resulteren in de accumulatie van een enorme rekening voor de legitieme gebruiker van de gecompromitteerde bucket, aangezien de overheadbronnen, hoewel beschikbaar, kostbaar zijn boven een bepaalde drempel.

De kern van het advies dat Trend Micro in dit geval geeft, is dat iedereen die cloudcomputingdiensten huurt, de tijd moet nemen om zijn team vertrouwd te maken met de bijzonderheden van het gebruikte systeem en de standaardimplementatie ervan, en vervolgens de tijd moet nemen om het zo te configureren dat zo veilig mogelijk is.