Hakovani Alibaba Cloud serveri i korišćeni za majnovanje

hacked hakovano
hacked hakovano

Hakovani Alibaba Cloud serveri – iskorišćeni su za majnovanje kripto valuta!

Instance usluge Alibaba ECS postale su privlačna meta za sajber kriminalce

Sajber-kriminalci su počeli da ciljaju servere koji rade na Alibaba Cloud-u u pokušaju da ih iskoriste za rudarenje kriptovalute.

Cryptojacking, u kojem napadač preuzima servere organizacije da bi kopao za kriptovalute, nije ništa novo, ali Trend Micro je primetio da sajber kriminalci sve više ciljaju Alibabinu infrastrukturu oblaka da bi kopali za Monero, jer joj se ne može ući u trag.

Alibaba Elastic Computing Service (ECS) instance su od posebne vrednosti za sajber kriminalce jer imaju funkciju automatskog skaliranja koja omogućava usluzi da automatski prilagođava računarske resurse na osnovu obima korisničkih zahteva prema novom izveštaju firme za sajber bezbednost.

Iako je ova funkcija dostupna Alibabinim kupcima bez dodatnih troškova, povećanje korišćenja resursa na kraju dovodi do dodatnih troškova za njegove klijente.

Pejzaž kriptodžekinga dele više aktera, uključujući Kinsing i TeamTNT, iako njihov kod ima zajedničke karakteristike kao što je mogućnost uklanjanja konkurentskih aktera koji takođe kopaju kriptovalute i onemogućavanja bezbednosnih funkcija koje se nalaze na mašini žrtve.

Alibaba Cloud ECS
Alibaba Cloud ECS

Hakovani Alibaba Cloud serveri – Ciljanje Alibaba ECS instanci


Alibaba ECS instance dolaze sa unapred instaliranim bezbednosnim agentom koji sajber kriminalci često pokušavaju da odmah onemoguće nakon što dobiju pristup serveru korisnika.

Tokom svoje nedavne istrage, Trend Micro je pronašao specifičan kod u malveru koji su napadači koristili da kreiraju pravila zaštitnog zida za izbacivanje dolaznih paketa iz IP opsega koji pripadaju internim Alibaba zonama i regionima. U isto vreme, podrazumevana Alibaba ECS instanca obezbeđuje root pristup što znatno olakšava sajber kriminalcima da koriste svoje servere u oblaku za cryptojacking.

Sa najvećom mogućom privilegijom koja je već dostupna nakon kompromitovanja, napadač može da primeni napredno opterećenje kao što su rootkiti modula jezgra i postigne postojanost na Alibaba ECS instanci žrtve. Ovo bi mogao biti jedan od razloga zašto su sajber kriminalci počeli posebno da ciljaju uslugu računarstva u oblaku kineske kompanije u odnosu na konkurente kao što su AWS ili Microsoft Azure.

Za organizacije koje koriste Alibaba Cloud, Trend Micro preporučuje da praktikuju model podeljene odgovornosti gde CSP-ovi i korisnici imaju odgovornost da obezbede bezbednosne konfiguracije radnih opterećenja, projekata i okruženja, prilagođavaju bezbednosne karakteristike projekata i radnih opterećenja u oblaku i poštuju princip najmanje privilegija gde je broj korisnika sa najvišim privilegijama pristupa ograničen.