Les acteurs de la menace détournent les instances d’Alibaba Elastic Computing Service (ECS) pour installer des logiciels malveillants cryptominer et exploiter les ressources de serveur disponibles à leur propre profit.
Alibaba est un géant chinois de la technologie présent sur le marché mondial, ses services cloud étant principalement utilisés en Asie du Sud-Est.
En particulier, le service ECS est commercialisé comme offrant une mémoire rapide, des processeurs Intel et des opérations prometteuses à faible latence. Mieux encore, pour se protéger contre les logiciels malveillants tels que les cryptomineurs, ECS est livré avec un agent de sécurité préinstallé.
Des pirates informatiques suppriment l’agent de sécurité ECS pour installer des mineurs
Selon un rapport de Trend Micro, l’un des problèmes d’Alibaba ECS est l’absence de différents niveaux de privilège configurés sur une instance, toutes les instances offrant un accès root par défaut.
Cela permet aux acteurs des menaces qui accèdent aux identifiants de connexion d’accéder au serveur cible via SSH en tant que root sans aucun travail préparatoire (élévation des privilèges).
« L’acteur de la menace dispose du privilège le plus élevé possible en cas de compromission, y compris l’exploitation des vulnérabilités, tout problème de mauvaise configuration, des informations d’identification faibles ou une fuite de données », explique Trend Micro rapport.
De plus, ces privilèges élevés permettent aux acteurs malveillants de créer des règles de pare-feu qui suppriment les paquets entrants des plages d’adresses IP appartenant aux serveurs internes d’Alibaba pour empêcher l’agent de sécurité installé de détecter un comportement suspect.
Les acteurs malveillants peuvent alors exécuter des scripts qui arrêtent l’agent de sécurité sur l’appareil compromis.
Source : Trend Micro
Compte tenu de la facilité avec laquelle il est possible de planter des rootkits de modules de noyau et des logiciels malveillants de cryptojacking en raison des privilèges élevés, il n’est pas surprenant que plusieurs acteurs de la menace se fassent concurrence pour prendre le contrôle des instances Alibaba Cloud ECS.
Trend Micro a également observé des scripts recherchant des processus s’exécutant sur des ports spécifiques couramment utilisés par les logiciels malveillants et les portes dérobées et mettant fin aux processus associés pour supprimer les logiciels malveillants concurrents.
Source : Trend Micro
Une autre fonctionnalité d’ECS exploitée par les acteurs est un système d’auto-scaling qui permet au service d’ajuster automatiquement les ressources de calcul en fonction du volume de demandes des utilisateurs.
Cela permet d’éviter les interruptions de service et les hoquets dus à des charges de trafic soudaines, mais c’est une opportunité pour les cryptojackers.
En abusant de cela lorsqu’il est actif sur le compte ciblé, les acteurs peuvent augmenter leur puissance de minage Monero et engager des coûts supplémentaires pour le propriétaire de l’instance.
Considérant que les cycles de facturation sont mensuels dans le meilleur des cas, il faudrait un certain temps à la victime pour comprendre le problème et prendre des mesures.
Lorsque la mise à l’échelle automatique n’est pas disponible, l’exploitation minière entraînera un effet de ralentissement plus immédiat et plus visible, car les mineurs utilisent la puissance CPU disponible.
Tous les services cloud doivent être contrôlés
Alibaba ECS est un autre cas de service cloud ciblé par les cryptomineurs, avec d’autres campagnes récentes notables ciblant Docker et Huawei Cloud.
Trend Micro a informé Alibaba de ses conclusions mais n’a pas encore reçu de réponse.
Si vous utilisez le service cloud d’Alibaba, assurez-vous que vos paramètres de sécurité sont corrects et suivez les meilleures pratiques.
De plus, évitez d’exécuter des applications sous le privilège root, utilisez des clés cryptographiques pour l’accès et suivez le principe du moindre privilège.
Dans le cas d’ECS, sa protection intégrée contre les logiciels malveillants n’est pas suffisante, c’est pourquoi l’ajout d’une deuxième couche de détection des logiciels malveillants et des vulnérabilités dans l’environnement cloud devrait faire partie de votre pratique de sécurité standard.