Bedrohungsakteure missbrauchen Alibaba Cloud Services

Sicherheitsforscher von Trend Micro haben einen beobachteten Angriff auf Alibabas Cloud-Computing-Dienste, bekannt als Aliyun, gemeldet.

Laut Trend Micro haben Hacker verschiedene Instanzen des chinesischen E-Commerce-Riesen manipuliert und deaktiviert und die kompromittierten Systeme für illegales Krypto-Mining missbraucht.

Die bei dem Angriff verwendete benutzerdefinierte Malware manipuliert die Sicherheitssoftware, die dafür verantwortlich ist, den elastischen Computerdienst von Alibaba gesund und sicher zu halten. Die Malware verwendet benutzerdefinierten Code, um neue Firewall-Regeln in das Zielsystem einzufügen, und konfiguriert dann die IP-Tabellen des Servers neu, um Pakete vollständig zu verwerfen, die aus "internen Alibaba-Zonen und -Regionen" stammen.

In einigen der untersuchten Malware-Samples versucht die Cloud-Sicherheitssoftware, das ausgeführte bösartige Skript zu identifizieren, aber aufgrund der Manipulation scheitert sie und wird stattdessen heruntergefahren. In einem anderen Beispiel löste die Malware einfach die Deinstallation des Sicherheitsagenten aus, bevor sie das fehlerhafte Skript überhaupt erkennen und eine Warnung senden konnte.

Erschwerend kommt hinzu, dass die Standardkonfiguration der Alibaba Elastic Cloud Computing-Instanz den Root-Zugriff ermöglicht. Trend Micro erklärt, dass andere Cloud-Dienstanbieter Benutzern normalerweise nicht erlauben, die direkte SSH-Anmeldung in ihrem Standard-Setup zu verwenden. Mit Alibabas Cloud können alle Benutzer dem Root-Zugriffsbenutzer innerhalb der virtuellen Maschine ein Passwort geben.

Dies bedeutet im Wesentlichen, dass ein bösartiger Akteur bei anderen Cloud-Systemen viel härter arbeiten müsste, um erhöhte Privilegien zu erlangen, selbst wenn er bereits über die Anmeldeinformationen verfügte, aber dies ist bei Alibabas Cloud-Instanzen nicht der Fall.

Zu den Cloud-Diensten von Alibaba gehört auch die Option zur automatischen Skalierung je nach Bedarf. Dies bedeutet, dass ein Bedrohungsakteur seine Krypto-Mining-Malware einfach an ihre Grenzen bringen und erhebliche Ressourcen aus der Cloud rauben könnte, die automatisch zugewiesen werden. Dies führt natürlich auch zur Ansammlung einer massiven Rechnung für den legitimen Benutzer des kompromittierten Buckets, da die Overhead-Ressourcen, während sie verfügbar sind, über einen bestimmten Schwellenwert hinaus kostspielig sind.

Der Kern der Ratschläge von Trend Micro in diesem Fall lautet, dass sich jeder, der Cloud-Computing-Dienste anmietet, sich die Zeit nehmen sollte, sein Team mit den Besonderheiten des verwendeten Systems und seiner Standardimplementierung vertraut zu machen und es dann so zu konfigurieren, dass es so sicher wie möglich ist.