Podmioty zagrażające nadużywają usług Alibaba Cloud

Badacze bezpieczeństwa z Trend Micro zgłosili zaobserwowany atak na usługi przetwarzania w chmurze Alibaba, znane jako Aliyun.

Według Trend Micro hakerzy majstrowali i wyłączali oddzielne instancje chińskiego giganta handlu elektronicznego, wykorzystując zhakowane systemy do nielegalnego kopania kryptowalut.

Niestandardowe złośliwe oprogramowanie użyte w ataku manipuluje oprogramowaniem zabezpieczającym odpowiedzialnym za utrzymanie w dobrym stanie i bezpieczeństwa elastycznej usługi obliczeniowej Alibaba. Szkodnik wykorzystuje niestandardowy kod do wstrzyknięcia nowych reguł zapory sieciowej do docelowego systemu, a następnie ponownie konfiguruje tabele adresów IP serwera, aby całkowicie odrzucić pakiety pochodzące z „wewnętrznych stref i regionów Alibaba".

W niektórych z przebadanych próbek złośliwego oprogramowania oprogramowanie zabezpieczające w chmurze próbuje zidentyfikować wykonywany złośliwy skrypt, ale w wyniku manipulacji nie udaje mu się tego i zamiast tego zostaje zamknięte. W innej próbce złośliwe oprogramowanie po prostu wywołało dezinstalację agenta bezpieczeństwa, zanim zdołało nawet wykryć zły skrypt i wysłać alert.

Co gorsza, domyślna konfiguracja instancji elastycznej chmury obliczeniowej Alibaba umożliwia dostęp do roota. Firma Trend Micro wyjaśnia, że inni dostawcy usług w chmurze zwykle nie zezwalają użytkownikom na używanie bezpośredniego logowania SSH w domyślnej konfiguracji. Dzięki chmurze Alibaba wszyscy użytkownicy mogą podać hasło użytkownikowi z dostępem root na maszynie wirtualnej.

Zasadniczo oznacza to, że podczas gdy w przypadku innych systemów w chmurze, zły aktor musiałby pracować nieco ciężej, aby uzyskać podwyższone uprawnienia, nawet jeśli miał już poświadczenia logowania, ale tak nie jest w przypadku instancji chmurowych Alibaba.

Usługi w chmurze Alibaba obejmują również opcję automatycznego skalowania w zależności od zapotrzebowania. Oznacza to, że cyberprzestępca może po prostu wykorzystać swoje złośliwe oprogramowanie do wydobywania kryptowalut do granic możliwości i pozyskać znaczne zasoby z chmury, przydzielane automatycznie. Oczywiście spowoduje to również nagromadzenie ogromnych rachunków dla uprawnionego użytkownika zaatakowanego zasobnika, ponieważ zasoby ogólne, chociaż są dostępne, przekraczają pewien próg.

Istotą porad udzielanych przez firmę Trend Micro w tym przypadku jest to, że każdy wynajmujący usługi przetwarzania w chmurze powinien poświęcić czas na zapoznanie swojego zespołu ze specyfiką używanego systemu i jego domyślnej implementacji, a następnie poświęcić czas na skonfigurowanie go w taki sposób, aby jest tak bezpieczny, jak to tylko możliwe.