Des acteurs menaçants abusent des services cloud d'Alibaba

Des chercheurs en sécurité de Trend Micro ont signalé une attaque observée contre les services de cloud computing d'Alibaba, connus sous le nom d'Aliyun.

Selon Trend Micro, des pirates informatiques ont falsifié et désactivé des instances distinctes du géant chinois du commerce électronique, abusant des systèmes compromis pour l'extraction illégale de crypto.

Le logiciel malveillant personnalisé utilisé dans l'attaque altère le logiciel de sécurité chargé de maintenir le service informatique élastique d'Alibaba sain et sûr. Le malware utilise un code personnalisé pour injecter de nouvelles règles de pare-feu sur le système ciblé, puis reconfigure les tables IP du serveur pour supprimer complètement les paquets provenant des « zones et régions internes d'Alibaba ».

Dans certains des échantillons de logiciels malveillants examinés, le logiciel de sécurité cloud tente d'identifier le script malveillant en cours d'exécution, mais en raison de la falsification, il ne parvient pas à le faire et s'arrête à la place. Dans un autre exemple, le malware a simplement déclenché la désinstallation de l'agent de sécurité avant même qu'il ne puisse détecter le mauvais script et envoyer une alerte.

Pour aggraver les choses, la configuration par défaut de l'instance de cloud computing élastique d'Alibaba permet un accès root. Trend Micro explique que les autres fournisseurs de services cloud n'autorisent généralement pas les utilisateurs à utiliser la connexion SSH directe dans leur configuration par défaut. Avec le cloud d'Alibaba, tous les utilisateurs peuvent donner un mot de passe à l'utilisateur root au sein de la machine virtuelle.

Cela signifie essentiellement que, alors qu'avec d'autres systèmes cloud, un mauvais acteur devrait travailler un peu plus pour obtenir des privilèges élevés même s'il disposait déjà des informations de connexion, mais ce n'est pas le cas avec les instances cloud d'Alibaba.

Les services cloud d'Alibaba incluent également l'option de mise à l'échelle automatique en fonction de la demande. Cela signifie qu'un acteur de la menace pourrait simplement pousser ses logiciels malveillants de crypto-mining à la limite et monopoliser des ressources importantes du cloud, allouées automatiquement. Bien entendu, cela entraînera également l'accumulation d'une facture massive pour l'utilisateur légitime du compartiment compromis, car les ressources de frais généraux, bien qu'elles soient disponibles, sont coûteuses au-delà d'un certain seuil.

L'essentiel du conseil fourni par Trend Micro dans ce cas est que toute personne louant des services de cloud computing doit prendre le temps de familiariser son équipe avec les spécificités du système utilisé et sa mise en œuvre par défaut, puis prendre le temps de le configurer d'une manière qui est aussi sécurisé que possible.