Tehdit Aktörleri Alibaba Bulut Hizmetlerini Kötüye Kullanıyor

Trend Micro ile güvenlik araştırmacıları, Alibaba'nın Aliyun olarak bilinen bulut bilişim hizmetlerine yönelik gözlemlenen bir saldırı bildirdiler.

Trend Micro'ya göre, bilgisayar korsanları, Çin e-ticaret devinin ayrı örneklerini kurcalıyor ve devre dışı bırakıyor, güvenliği ihlal edilmiş sistemleri yasadışı kripto madenciliği için kötüye kullanıyor.

Saldırıda kullanılan özel kötü amaçlı yazılım, Alibaba elastik bilgi işlem hizmetini sağlıklı ve güvenli tutmaktan sorumlu güvenlik yazılımını kurcalıyor. Kötü amaçlı yazılım, hedeflenen sisteme yeni güvenlik duvarı kuralları eklemek için özel kod kullanır, ardından sunucunun IP tablolarını "dahili Alibaba bölgeleri ve bölgelerinden" kaynaklanan paketleri tamamen bırakacak şekilde yeniden yapılandırır.

İncelenen kötü amaçlı yazılım örneklerinden bazılarında, bulut güvenlik yazılımı yürütülmekte olan kötü amaçlı komut dosyasını tanımlamaya çalışır, ancak kurcalama sonucunda bunu yapamaz ve bunun yerine kapatılır. Başka bir örnekte, kötü amaçlı yazılım, kötü komut dosyasını algılamadan ve bir uyarı göndermeden önce güvenlik aracısının kaldırılmasını tetikledi.

Daha da kötüsü, Alibaba elastik bulut bilgi işlem örneğinin varsayılan yapılandırması, kök erişimine izin verir. Trend Micro, diğer bulut hizmeti sağlayıcılarının genellikle kullanıcıların varsayılan kurulumlarında doğrudan SSH oturum açmasını kullanmasına izin vermediğini açıklıyor. Alibaba'nın bulutu ile tüm kullanıcılar, sanal makine içerisinde root erişimli kullanıcıya şifre verebilmektedir.

Bu, esasen, diğer bulut sistemlerindeyken, kötü bir aktörün, oturum açma kimlik bilgilerine zaten sahip olsalar bile yükseltilmiş ayrıcalıklar elde etmek için biraz daha fazla çalışması gerekeceği anlamına gelir, ancak Alibaba'nın bulut örneklerinde durum böyle değildir.

Alibaba'nın bulut hizmetleri, isteğe bağlı olarak otomatik ölçeklendirme seçeneğini de içerir. Bu, bir tehdit aktörünün kripto madenciliği kötü amaçlı yazılımlarının sınırına kadar zorlayabileceği ve otomatik olarak tahsis edilen buluttan önemli kaynakları isteyebileceği anlamına gelir. Tabii ki, bu aynı zamanda güvenliği ihlal edilmiş paketin meşru kullanıcısı için büyük bir fatura birikmesiyle de sonuçlanacaktır, çünkü genel gider kaynakları mevcutken belirli bir eşiğin üzerinde maliyetlidir.

Bu durumda Trend Micro tarafından sağlanan tavsiyenin özü, bulut bilişim hizmetleri kiralayan herkesin, ekibini kullanılan sistemin özellikleri ve varsayılan uygulamasıyla tanıştırmak için zaman ayırması ve ardından bunu şu şekilde yapılandırmak için zaman ayırması gerektiğidir. mümkün olduğunca güvenlidir.