Nytt intrång stjäl datakraft från företags molntjänster

För första gången sprids nu en skadlig programvara som tar över och använder företags datakraft i molnet.

IT-säkerhetsleverantören Palo Alto Networks har upptäckt intrång som sätter ur spel den säkerhetsprogramvara som normalt skyddar företagens molnresurser. Angriparna utnyttjar sedan processorkraften för att utvinna kryptovaluta för egen vinning.

Den aktuella skadliga programvaran liknar den tidigare uppmärksammade Xbash, och de som står bakom angreppet är en grupp, kallad Rocke, som är känd sedan tidigare. Nu menar Palo Alto Networks att den nya metoden sannolikt kommer få efterföljare och kan bli det första exemplet på en ny typ av säkerhetshot som drabbar molntjänster.

Intrången genomförs genom att utnyttja kända säkerhetsluckor i programvarorna Apache Struts 2, Oracle WebLogic och Adobe ColdFusion för att skaffa administratörskontroll och därefter använda denna för att avinstallera molnsäkerhetsverktyg. Det innebär att angriparna kunnat få fri tillgång till processorkraft, utan att riskera upptäckt, vilket de sedan utnyttjat för att utvinna kryptovalutan Monero åt sig själva.

I det här fallet riktade sig angriparna in på de största kinesiska leverantörerna av publika molntjänster, Tencent och Alibaba, som också växer internationellt. Även hos de större leverantörerna i Sverige, som Amazon Web Services, Microsoft Azure och Google Cloud, har det tidigare skett intrång men då till exempel med hjälp av stulna inloggningsuppgifter.

Enligt en rapport från Palo Alto Networks från i höstas har det dock sällan varit de publika molntjänsterna själva som varit problemet när det skett intrång tidigare.

I stället är det vanligtvis deras kunders hantering av sina resurser i molnet som brustit.

De molnsäkerhetslösningar som avinstalleras vid de nyupptäckta intrången är fem olika skydds- och övervakningsprodukter. Lösningarna är avsedda för flera olika säkerhetsuppgifter, som att upptäcka trojaner och ta bort dem, eller att larma när ett lösenord tros ha använts felaktigt.

De tidiga versionerna av programvaran tog bara bort en av säkerhetslösningarna, men angriparna insåg sannolikt att detta inte räckte för att undvika upptäckt och utvecklade därför en ny version. Det är sannolikt att de kommer fortsätta utveckla programvaran, för att kunna nå fler resurser i publika molntjänster, menar Palo Alto Networks.

De nya intrången är en ny utmaning för de företag som levererar lösningar för molnsäkerhet. Palo Alto Networks researchavdelning Unit 42 har jobbat med Tencent Cloud och Alibaba Cloud och kan nu sätta stopp för intrången. Palo Alto Networks säkerhetsplattform hindrar dem innan de kan åstadkomma skada hos företagets kunder.