Actores de Amenazas Abusan de los Servicios en la Nube de Alibaba
Los investigadores de seguridad de Trend Micro han informado de un ataque observado a los servicios de computación en la nube de Alibaba, conocidos como Aliyun.
Según Trend Micro, los piratas informáticos han estado manipulando y deshabilitando instancias separadas del gigante del comercio electrónico chino, abusando de los sistemas comprometidos para la minería criptográfica ilegal.
El malware personalizado utilizado en el ataque manipula el software de seguridad responsable de mantener saludable y seguro el servicio de computación elástica de Alibaba. El malware utiliza código personalizado para inyectar nuevas reglas de firewall en el sistema de destino, luego reconfigura las tablas de IP del servidor para eliminar por completo los paquetes que se originan en "zonas y regiones internas de Alibaba".
En algunas de las muestras de malware examinadas, el software de seguridad en la nube intenta identificar el script malicioso que se está ejecutando, pero como resultado de la manipulación, no lo hace y en su lugar se cierra. En otra muestra, el malware simplemente desencadenó la desinstalación del agente de seguridad antes de que pudiera detectar el script incorrecto y enviar una alerta.
Para empeorar las cosas, la configuración predeterminada de la instancia de computación en la nube elástica de Alibaba permite el acceso a la raíz. Trend Micro explica que otros proveedores de servicios en la nube generalmente no permiten que los usuarios utilicen el inicio de sesión SSH directo en su configuración predeterminada. Con la nube de Alibaba, todos los usuarios pueden dar una contraseña al usuario de acceso raíz dentro de la máquina virtual.
Básicamente, esto significa que, mientras que con otros sistemas en la nube, un mal actor tendría que trabajar un poco más para obtener privilegios elevados, incluso si ya tenía las credenciales de inicio de sesión, este no es el caso de las instancias en la nube de Alibaba.
Los servicios en la nube de Alibaba también incluyen la opción de escalado automático según la demanda. Esto significa que un actor de amenazas podría simplemente llevar su malware de minería criptográfica al límite y acaparar recursos significativos de la nube, asignados automáticamente. Por supuesto, esto también resultará en la acumulación de una factura masiva para el usuario legítimo del depósito comprometido, ya que los recursos generales, si bien están disponibles, son costosos más allá de un cierto umbral.
La esencia del consejo proporcionado por Trend Micro en este caso es que cualquier persona que alquile servicios de computación en la nube debe tomarse el tiempo para familiarizar a su equipo con las características específicas del sistema utilizado y su implementación predeterminada, y luego tomarse el tiempo para configurarlo de manera que es lo más seguro posible.