Posté le novembre 16, 2021 à 18:54
DES CHERCHEURS DÉCOUVRENT QUE DES HACKERS INSTALLENT UN LOGICIEL MALVEILLANT CRYPTOMINER SUR ALIBABA CLOUD
Un rapport récent révèle que des hackers exploitent les instances d’Alibaba Elasticity Computing Services (ECS) pour installer un logiciel malveillant de minage de cryptomonnaie.
Selon le rapport, les hackers profitent des ressources disponibles des serveurs pour leurs gains personnels.
Les services en nuage d’Alibaba sont principalement utilisés en Asie du Sud-Est, mais ils sont toujours présents sur le marché mondial. L’ECS est livré avec un agent de sécurité préinstallé qui promet des opérations à faible latence et offre une protection contre les logiciels malveillants tels que les cryptominers.
D’après les recherches de Trend Micro, les hackers utilisent un code spécifique dans les logiciels malveillants de programmation pour élaborer de nouvelles règles de pare-feu. Ils donnent des instructions aux filtres de sécurité pour que les paquets provenant d’IPs provenant de régions et de zones internes d’Alibaba soient éliminés.
Selon les chercheurs, bien que la neutralisation de la sécurité ne soit pas une nouveauté, les hackers chargés de cette mission utilisent des approches uniques qui peuvent garantir des résultats.
Les hackers désactivent l’agent de sécurité
En général, lorsqu’un acteur de la menace installe un logiciel malveillant de cryptojacking dans un panier ECS d’Alibaba, l’agent de sécurité envoie habituellement une notification à l’utilisateur l’informant qu’un script malveillant en cours d’exécution a été détecté. Mais dans ce cas, l’agent de sécurité ne parvient pas à arrêter le script malveillant en cours d’exécution malgré la détection. Les chercheurs de Trend Micro ont également constaté que l’agent de sécurité a été désinstallé avant même d’avoir pu envoyer une alerte de compromission.
Cela signifie que la sécurité qui a été mise en place pour déclencher tout signe d’infiltration d’un logiciel malveillant est systématiquement désactivée pour permettre au logiciel malveillant d’avoir un accès express.
Une fois qu’il a franchi ce dispositif de sécurité, il procède à l’installation du cryptomineur XMRig, disponible sur le marché, qui est ensuite utilisé pour miner du Monero.
Les chercheurs ont également noté que le nouveau processus de configuration des instances en nuage a rendu plus évident le fait de cibler Alibaba. Les chercheurs ont également souligné que de plus en plus de hackers cherchent à avoir accès aux systèmes en raison de quelques nouvelles fonctionnalités du service.
Ils soulignent que l’ECS permet aux hackers d’avoir un accès root aux systèmes.
Ce service permet aux utilisateurs de fournir leurs mots de passe directement à l’utilisateur root de la machine virtuelle. Cela permet aux acteurs de la menace de lancer plus facilement leurs attaques.
Selon les chercheurs, d’autres services en nuage offrent une plateforme plus sûre aux utilisateurs. Ils utilisent différentes options de sécurité pour protéger les données des utilisateurs. Ils autorisent notamment l’authentification par cryptographie asymétrique et ne permettent pas l’authentification Secure Shell (SSH) par utilisateur et mot de passe.
Le service de cloud computing d’Alibaba donne aux hackers un privilège élevé
Avec ces mesures de sécurité, les hackers n’auront qu’un accès à faible privilège, même s’ils parviennent à obtenir des informations d’identification. Cela signifie qu’ils auront besoin de plus de détails techniques pour dépasser les faibles privilèges, ce qui les exclut dans la plupart des cas.
Cependant, comme le service d’Alibaba permet à l’utilisateur de se connecter directement par SSH par défaut, sa sécurité est largement remise en question.
Dans le bucket ECS d’Alibaba, un hacker disposant d’exploits de compromission initiale ou d’informations d’identification volées peut avoir accès avec les plus hauts privilèges possibles.
Les chercheurs ont ajouté que de tels privilèges laissent au hacker la possibilité de déployer des charges utiles avancées comme des rootkits de noyau.
Par conséquent, de plus en plus de hackers inondent maintenant l’ECS d’Alibaba Cloud en plantant un bout de code sur l’ECS d’Alibaba. Les chercheurs ont également noté que l’ECS d’Alibaba utilise une fonction de mise à l’échelle automatique, qui augmente automatiquement la disponibilité des ressources informatiques. Les mineurs disposent ainsi de ressources illimitées pour implanter des logiciels malveillants dans les systèmes des victimes et voler des cryptomonnaies.
La fonctionnalité Alibaba est proposée gratuitement aux abonnés. Toutefois, l’augmentation de l’utilisation des ressources entraîne des frais supplémentaires. Avant que la facture n’arrive à l’utilisateur ou à l’organisation involontaire, le cryptomineur a très probablement encouru des frais supplémentaires. Pour effacer la compromission de l’appareil, l’utilisateur ou l’abonné doit supprimer manuellement l’infection.
En outre, les chercheurs ont noté que les hackers utilisent un code modulaire pour le logiciel malveillant. Cela signifie qu’il sera plus facile de remplacer le cryptomineur au cas où il serait détecté. Un autre logiciel malveillant peut être échangé avec le logiciel malveillant initial pour poursuivre l’ensemble du processus de fraude.
Les hackers peuvent également choisir de remplacer le cryptomineur malveillant par un autre qui peut leur garantir plus de profits.
Les utilisateurs sont invités à fournir davantage de couches de sécurité
Les chercheurs de Trend Micro ont déclaré que les utilisateurs devraient pratiquer un modèle de responsabilité partagée et activer les couches de sécurité des projets et des charges de travail en conséquence.
Ils peuvent également se protéger des hackers qui volent les ressources du cloud en créant un utilisateur moins privilégié pour exécuter les applications dans chaque instance ECS Alibaba. En outre, les utilisateurs doivent s’assurer que leurs machines sont protégées par plusieurs couches d’outils de détection des vulnérabilités et de recherche de logiciels malveillants.
