Hotskådespelare missbrukar Alibaba molntjänster

Säkerhetsforskare med Trend Micro har rapporterat en observerad attack mot Alibabas molntjänster, känd som Aliyun.

Enligt Trend Micro har hackare manipulerat och inaktiverat separata instanser av den kinesiska e-handelsjätten och missbrukat de komprometterade systemen för illegal kryptogruvdrift.

Den anpassade skadliga programvaran som används i attacken manipulerar med säkerhetsprogramvaran som är ansvarig för att hålla Alibabas elastiska datortjänst frisk och säker. Skadlig programvara använder anpassad kod för att injicera nya brandväggsregler på det riktade systemet, och konfigurerar sedan om serverns IP-tabeller för att helt släppa paket som kommer från "interna Alibaba-zoner och regioner".

I några av de undersökta proverna på skadlig programvara försöker molnets säkerhetsprogram identifiera det skadliga skriptet som körs, men som ett resultat av manipuleringen misslyckas den med det och stängs av istället. I ett annat exempel utlöste skadlig programvara helt enkelt avinstallationen av säkerhetsagenten innan den ens kunde upptäcka det dåliga skriptet och skicka en varning.

För att göra saken värre tillåter standardkonfigurationen av Alibaba elastiska molnberäkningsinstans root-åtkomst. Trend Micro förklarar att andra molntjänstleverantörer vanligtvis inte tillåter användare att använda direkt SSH-inloggning i sina standardinställningar. Med Alibabas moln kan alla användare ge ett lösenord till root-åtkomstanvändaren i den virtuella maskinen.

Detta betyder i huvudsak att medan med andra molnsystem, skulle en dålig skådespelare behöva arbeta mycket hårdare för att få förhöjda privilegier även om de redan hade inloggningsuppgifterna, men detta är inte fallet med Alibabas molninstanser.

Alibabas molntjänster inkluderar även möjligheten för automatisk skalning beroende på efterfrågan. Detta innebär att en hotaktör helt enkelt kan pressa sin crypto-mining malware till det yttersta och ta betydande resurser från molnet, tilldelade automatiskt. Naturligtvis kommer detta också att resultera i en ackumulering av en enorm räkning för den legitima användaren av den komprometterade hinken, eftersom de overheadresurserna, även om de är tillgängliga, är kostsamma över en viss tröskel.

Kontentan av råden från Trend Micro i det här fallet är att alla som hyr molntjänster bör ta sig tid att bekanta sig med det specifika systemet som används och dess standardimplementering och sedan ta sig tid att konfigurera det på ett sätt som är så säkert som möjligt.