Cyberprzestępcy zaczęli atakować serwery działające w chmurze Alibaba w celu wykorzystania ich do wydobywania kryptowaluty.
Cryptojacking, podczas którego osoba atakująca przejmuje kontrolę nad serwerami organizacji w celu wydobywania kryptowaluty, nie jest niczym nowym, ale firma Trend Micro zauważyła, że cyberprzestępcy coraz częściej atakują infrastrukturę chmurową Alibaba w celu wykorzystania Monero, ponieważ nie można jej znaleźć.
Jak wynika z nowego raportu firmy, instancje Alibaba Elastic Computing Service (ECS) są szczególnie cenne dla cyberprzestępców, ponieważ posiadają funkcję automatycznego skalowania, która umożliwia usłudze automatyczne dostosowywanie zasobów IT w oparciu o liczbę żądań użytkowników. Chociaż ta funkcja jest dostępna dla klientów Alibaba bez dodatkowych kosztów, zwiększone wykorzystanie zasobów ostatecznie skutkuje dodatkowymi kosztami dla klientów.
Środowisko cryptojackingu jest wspólne dla kilku ugrupowań zagrażających, w tym Kinsing i TeamTNT, chociaż ich kod ma wspólne cechy, takie jak możliwość eliminowania konkurujących graczy, którzy również szukają kryptowaluty i wyłączania funkcji bezpieczeństwa znajdujących się na maszynie ofiary.
Kieruj na instancje Alibaba ECS
Instancje Alibaba ECS mają fabrycznie zainstalowaną funkcję zabezpieczenia, którą cyberprzestępcy często próbują wyłączyć natychmiast po uzyskaniu dostępu do serwera klienta.
Podczas niedawnego dochodzenia firma Trend Micro odkryła specyficzny kod w złośliwym oprogramowaniu wykorzystywanym przez osoby atakujące do tworzenia reguł zapory sieciowej w celu odrzucania przychodzących pakietów z zakresów adresów IP należących do wewnętrznych stref i regionów Ali Baby. Jednak z góry określona instancja Alibaba ECS zapewnia dostęp do konta root, co znacznie ułatwia cyberprzestępcom korzystanie z serwerów w chmurze w celu cryptojackingu.
Dysponując najwyższymi możliwymi uprawnieniami już dostępnymi w przypadku naruszenia bezpieczeństwa, osoba atakująca może wdrożyć zaawansowane ładunki, takie jak rootkity modułów jądra, i uzyskać trwałość instancji Alibaba ECS ofiary. Może to być jeden z powodów, dla których cyberprzestępcy zaczęli obierać za cel usługę przetwarzania w chmurze chińskiej firmy, a nie konkurentów takich jak AWS czy Microsoft Azure.
Organizacjom korzystającym z Alibaba Cloud Trend Micro zaleca stosowanie modelu wspólnej odpowiedzialności, w którym dostawcy CSP i użytkownicy są odpowiedzialni za zapewnienie konfiguracji bezpieczeństwa obciążeń, projektów i środowisk, dostosowywanie funkcjonalności, bezpieczeństwo projektów i obciążeń w chmurze oraz przestrzeganie zasady najniższych uprawnień, gdy liczba użytkowników z najwyższymi uprawnieniami dostępu jest ograniczona.
Sprawdź także najlepsze oprogramowanie do ochrony punktów końcowych, najlepszą zaporę sieciową w chmurze i najlepsze oprogramowanie do usuwania złośliwego oprogramowania.