Злоумышленники злоупотребляют облачными сервисами Alibaba

Исследователи безопасности из компании Trend Micro сообщили о наблюдаемой атаке на сервисы облачных вычислений Alibaba, известные как Aliyun.

Согласно Trend Micro, хакеры взламывали и отключали отдельные экземпляры китайского гиганта электронной коммерции, злоупотребляя скомпрометированными системами для незаконного майнинга криптовалют .

Специальная вредоносная программа, использованная в атаке, подделывает программное обеспечение безопасности, отвечающее за поддержание работоспособности и безопасности службы эластичных вычислений Alibaba. Вредоносная программа использует специальный код для внедрения новых правил брандмауэра в целевую систему, а затем реконфигурирует IP-таблицы сервера, чтобы полностью отбрасывать пакеты, исходящие из «внутренних зон и регионов Alibaba».

В некоторых исследованных образцах вредоносного ПО программное обеспечение облачной безопасности пытается идентифицировать выполняемый вредоносный скрипт, но в результате взлома ему не удается этого сделать и вместо этого оно отключается. В другом примере вредоносная программа просто запускала удаление агента безопасности, прежде чем она могла даже обнаружить плохой сценарий и отправить предупреждение.

Что еще хуже, конфигурация по умолчанию экземпляра эластичных облачных вычислений Alibaba позволяет использовать root-доступ. Trend Micro объясняет, что другие поставщики облачных услуг обычно не разрешают пользователям использовать прямой вход по SSH в настройках по умолчанию. В облаке Alibaba все пользователи могут дать пароль пользователю root-доступа на виртуальной машине.

По сути, это означает, что в то время как с другими облачными системами злоумышленнику придется немного усерднее работать, чтобы получить повышенные привилегии, даже если у него уже есть учетные данные для входа, но это не относится к облачным экземплярам Alibaba.

Облачные сервисы Alibaba также включают возможность автоматического масштабирования в зависимости от спроса. Это означает, что злоумышленник может просто довести свое вредоносное ПО до предела и забрать значительные ресурсы из облака, выделяемые автоматически. Конечно, это также приведет к накоплению огромных счетов для законного пользователя скомпрометированной корзины, поскольку служебные ресурсы, хотя и доступны, дорого обходятся после определенного порога.

Суть совета, предоставленного Trend Micro в этом случае, заключается в том, что любой, кто арендует услуги облачных вычислений, должен найти время, чтобы ознакомить свою команду со спецификой используемой системы и ее реализацией по умолчанию, а затем найти время, чтобы настроить ее таким образом, чтобы максимально безопасен.