Atores de Ameaças Abusam dos Serviços do Alibaba na Nuvem
Os pesquisadores de segurança da Trend Micro relataram um ataque aos serviços de computação na nuvem do Alibaba, conhecidos como Aliyun.
De acordo com a Trend Micro, os hackers têm adulterado e desativado instâncias separadas do gigante do comércio eletrônico chinês, abusando dos sistemas comprometidos para mineração ilegal de moeda digital.
O malware personalizado usado no ataque, interfere no software de segurança responsável por manter o serviço de computação elástica do Alibaba saudável e seguro. O malware usa um código personalizado para injetar novas regras de firewall no sistema visado e, em seguida, reconfigura as tabelas de IP do servidor para descartar completamente os pacotes originados de "zonas e regiões internas do Alibaba".
Em algumas das amostras de malware examinadas, o software de segurança na nuvem tenta identificar o script malicioso que está sendo executado, mas, como resultado da adulteração, ele não consegue fazer isso e é encerrado no seu lugar. Em outro exemplo, o malware simplesmente acionou a desinstalação do agente de segurança antes mesmo que pudesse detectar o script incorreto e enviar um alerta.
Para piorar a situação, a configuração padrão da instância de computação em nuvem elástica do Alibaba permite acesso root. A Trend Micro explica que outros provedores de serviços na nuvem geralmente não permitem que os usuários usem o login SSH direto na sua configuração padrão. Com a nuvem do Alibaba, todos os usuários podem fornecer uma senha de acesso root para o usuário dentro da máquina virtual.
Isso significa essencialmente que, embora com outros sistemas da nuvem, um mau ator precisaria trabalhar um pouco mais para obter privilégios elevados, mesmo se já tivesse as credenciais de login, esse não é o caso com as instâncias da nuvem do Alibaba.
Os serviços em nuvem do Alibaba também incluem a opção de escalonamento automático, dependendo da demanda. Isso significa que um agente de ameaça poderia simplesmente levar seu malware de mineração de criptografia ao limite e roubar recursos significativos da nuvem, alocados automaticamente. Obviamente, isso também resultará no acúmulo de uma fatura massiva para o usuário legítimo do bucket comprometido, já que os recursos indiretos, embora disponíveis, são caros depois de um determinado limite.
A essência do conselho fornecido pela Trend Micro, neste caso, é que qualquer pessoa que alugue serviços de computação na nuvem deve reservar um tempo para familiarizar sua equipe com as especificações do sistema usado e sua implementação padrão e, em seguida, reservar um tempo para configurá-los de uma forma que fiquem o mais seguro possível.