Компания Trend Micro, работающая в сфере информационной безопасности, сообщает, что разу несколько хакерских групп нацелились на облачные серверы Alibaba Cloud.
Цель злоумышленников — перехват управления серверами и распространение через них программного обеспечения для добычи криптовалюты.
Специалисты Trend Micro обнаружили несколько эксплоитов, созданных специально для перехвата управления облачными системами Alibaba Elastic Compute Service (ECS), которые Alibaba предоставляет пользователям под решение различных вычислительных задач. Хакеры в свою очередь пытаются взять контроль над этими серверами и использовать их для добычи криптовалюты Monero.
В отчёте Trend Micro указывается, что вредоносное ПО, попав на сервер ECS, удаляет встроенную цифровую защиту сервера, а затем создаёт на нём собственный брандмауэр со своими правилами доступа, блокируя входящие запросы с IP-адресов, относящихся к составу внутренней сети Alibaba. Отмечается, что для защиты от вредоносных программ, таких как криптомайнеры, ECS поставляется с предустановленным агентом безопасности, который, как выяснилось, имеет уязвимости.
«В этой ситуации злоумышленник получает наивысшие привилегии, позволяющие ему использовать все уязвимости системы, включая те, что связаны с конфигурацией сервера и защитой персональных данных. Через встроенного в ECS агента безопасности хакеры также могут устанавливать и запускать на сервере руткиты. С учётом этого совсем неудивительно, что сразу несколько групп злоумышленников нацелились на серверы Alibaba Cloud ECS, поскольку взломать их можно простой интеграцией нужного кода для удаления определённого программного обеспечения, которое используются только на серверах Alibaba ECS», — указывает Trend Micro.
Интерес хакеров к облачным серверам Alibaba Cloud ECS вызван ещё и тем, что они автоматически масштабируют свои ресурсы под определённые задачи и требования клиента. А майнинг криптовалют, как известно, требует много ресурсов.
В Trend Micro поясняют, что Alibaba является не единственным провайдером облачных услуг, на которого нацелились хакеры. Признаки, имеющие общие черты со взломом серверов Alibaba ECS, эксперты по безопасности также нашли и на машинах других азиатских компаний, предоставляющих услуги доступа к облачным мощностям, например, Huawei Cloud.
Эксперты обратились со своим отчётом к Alibaba Cloud Team, но там на момент публикации никак не отреагировали на это сообщение.
(C) 3dnews