Κακόβουλοι παράγοντες παραβίασαν την υπηρεσία Alibaba Elastic Computing Service (ECS), για να εγκαταστήσουν κακόβουλο λογισμικό cryptominer και να αξιοποιήσουν τους διαθέσιμους πόρους διακομιστή για δικό τους κέρδος.
Δείτε επίσης: Huawei Cloud: Στόχος ενημερωμένου malware cryptomining
Η Alibaba είναι ένας κινεζικός τεχνολογικός κολοσσός με παρουσία στην παγκόσμια αγορά, με τις υπηρεσίες cloud της να χρησιμοποιούνται κυρίως στη νοτιοανατολική Ασία.
Για να προστατεύεται από κακόβουλο λογισμικό, όπως τα cryptominers, η υπηρεσία ECS συνοδεύεται από έναν προεγκατεστημένο παράγοντα ασφαλείας.
Πράσινες κηλίδες στον Άρη ανακαλύφθηκαν από τη NASA
Εκμετάλλευση Ευπαθειών: Απειλές για τη Μονάδα MELSEC
Ρομπότ ανέσυρε ραδιενεργό υλικό από το Fukushima Daiichi
Σύμφωνα με μια αναφορά της Trend Micro, ένα από τα ζητήματα με το Alibaba ECS είναι η έλλειψη διαφορετικών επιπέδων προνομίων, που έχουν ρυθμιστεί στην υπηρεσία κατά περίπτωση, με όλες τις περιπτώσεις να προσφέρουν πρόσβαση root από προεπιλογή.
Αυτό δίνει τη δυνατότητα στους κακόβουλους παράγοντες που αποκτούν πρόσβαση στα διαπιστευτήρια σύνδεσης, να έχουν πρόσβαση στον διακομιστή προορισμού μέσω SSH ως root, χωρίς καμία προπαρασκευαστική εργασία (κλιμάκωση των προνομίων).
Επιπλέον, αυτά τα αυξημένα προνόμια, επιτρέπουν στους κακόβουλους παράγοντες να δημιουργήσουν κανόνες τείχους προστασίας, που απορρίπτουν εισερχόμενα πακέτα από περιοχές IP που ανήκουν σε εσωτερικούς διακομιστές Alibaba, για να εμποδίσουν τον εγκατεστημένο παράγοντα ασφαλείας να ανιχνεύσει ύποπτη συμπεριφορά.
Δείτε ακόμα: Η Alibaba έπεσε θύμα web crawler σε τεράστιο data leak
Οι φορείς απειλών μπορούν στη συνέχεια να εκτελέσουν σενάρια που σταματούν τον παράγοντα ασφαλείας στη συσκευή που έχει παραβιαστεί.
Δεδομένου του πόσο εύκολη είναι η εγκατάσταση rootkits λειτουργικών μονάδων πυρήνα και κακόβουλου λογισμικού cryptojacking λόγω των αυξημένων προνομίων, δεν αποτελεί έκπληξη το γεγονός ότι πολλοί ανταγωνίζονται για να αναλάβουν την υπηρεσία του Alibaba Cloud ECS.
Μια άλλη δυνατότητα ECS που εκμεταλλεύονται οι εισβολείς, είναι ένα σύστημα αυτόματης κλιμάκωσης που επιτρέπει στην υπηρεσία να προσαρμόζει αυτόματα τους υπολογιστικούς πόρους με βάση τον όγκο των αιτημάτων των χρηστών.
Το Alibaba ECS είναι μια ακόμη περίπτωση υπηρεσίας cloud που στοχεύουν οι cryptominers, με άλλες πρόσφατες εκστρατείες να στοχεύουν το Docker και το Huawei Cloud.
Εάν χρησιμοποιείτε την υπηρεσία cloud της Alibaba, βεβαιωθείτε ότι οι ρυθμίσεις ασφαλείας σας είναι σωστές και ακολουθούν τις βέλτιστες πρακτικές.
Δείτε επίσης: Νέο worm εγκαθιστά XMRig cryptominers σε Windows και Linux servers
Επιπλέον, αποφύγετε την εκτέλεση εφαρμογών με δικαιώματα root, χρησιμοποιήστε κρυπτογραφικά κλειδιά για πρόσβαση και ακολουθήστε την αρχή του ελάχιστου προνομίου.
Στην περίπτωση του ECS, η ενσωματωμένη προστασία κακόβουλου λογισμικού δεν είναι αρκετή, επομένως η προσθήκη ενός δεύτερου επιπέδου ανίχνευσης για κακόβουλο λογισμικό και ευπάθειες στο περιβάλλον cloud, θα πρέπει να αποτελεί μέρος της τυπικής πρακτικής ασφαλείας σας.