روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اواخر سال 2021 گوگل در باب تهدیدهای معمول برای کاربران کلود خود اولین گزارش را منتشر کرد که محوریت آن امنیت پلتفرم گوگل کلود[1] بود. این سرویس به کلاینتهای سازمانی برای ساخت سیستمهای کلود سناریوهای مختلف ارائه میدهد از صرفاً میزبانی و اجرای اپهای جداگانه گرفته تا به کارگیری رایانشهایی با کارایی بالا.
دلایل حمله به پلتفرم کلود گوگل
این گزارش تمرکزش روی دلایل و پیامدهای حملات به نمونههای سفارشی GCP بوده است و در آن 50 حمله موفق که اخیراً روی سرورهای سفارشی یا اپها صورت گرفته مورد تحلیل قرار گرفتند. از بین موارد آنالیزشده توسط گوگل، 48 درصد آنها ناشی از پسورد ضعیف (یا عدم پسورد) برای اکانتهای مبتنی بر سرور بوده است. در 26 درصد موارد نیز هکرها از آسیبپذیری داخل نرمافزار سرور کلودی استفاده کرده بودند. تنظیمات نادرست اپ یا سرور 12 درصد این حملات را موجب شد و فقط 4 درصد حملات در پی نشت پسورد یا کلید دسترسی رخ دادند. دستهبندی دوم شامل اروری میشود که البته برای توسعهدهندگان چندان عجیب هم به نظر نمیرسد: آپلود دادههای احراز هویت به همراه کد منبع یک ذخیره عمومی روی گیتهاب یا سرویسی مشابه. به نقل از گزارشی که GitGuardian تهیه کرده است تا 5 هزار داده محرمانه ( کلیدهای API، ترکیب نام کاربری و رمزعبور، گواهیها) هر روز در گیتهاب آپلود میشوند و در سال 2020 شاهد 2 میلیون نشت داده محرمانه از این دست بودهایم.
آسیبپذیریهای اکسپلویتشده
|
درصد
|
ضعیف یا عدم پسوردی برای اکانت کاربری یا عدم احراز هویت برای APIها
|
48%
|
آسیبپذیری در نرمافزارهای طرفسوم در کلود اکسپلویت شده است
|
26%
|
سایر مسائل
|
12%
|
تنظیمات نادرست کلود یا نرمافزار طرفسوم
|
12%
|
اطلاعات محرمانه نشتشده مانند کلیدهایی در پروژههای گیتهاب
|
4%
|
گوگل خاطرنشان میکند که مجرمان سایبری قصد ندارند شرکتهای خاصی را مورد حمله قرار دهند و در عوض به طور منظم کل دامنه آدرسهای آیپی را که به پلتفرم کلود گوگل تعلق دارد را در جستجوی موارد آسیبپذیری اسکن میکنند. مفهوم این اتوماسیون هم واضح است: اگر از اینترنت سرور محافظتنشدهای قابلیت دسترسی پیدا کند به طور قطعهک خواهد شد و شاید حتی این رخداد خیلی زود هم باشد (در بسیاری از موارد حمله در عرض چند دقیقه اتفاق میافتد). فاصله زمانی بین هک و شروع فعالیت مخرب حتی کوتاهتر نیز هست؛ بیشتر سرورهای مورد حمله واقعشده در نیم دقیقه مورد عملیاتهای غیرقانونی قرار میگیرند.
چرا مهاجمین به پلتفرم کلود گوگل هجوم آوردهاند؟
در اکثریت قریب به اتفاق موارد (86 درصد) یک کریپتوماینر[2] (برنامهای که از منابع دیگران برای تولید رمزارز استفاده میکند) روی سرور نصب میشود. بیشتر اینطور رایج است که این کریپتوماینرها منابع CPU/GPU باشند اما این گزارش همچنین به این مسئله اشاره دارد که اکسپلویت فضای آزاد دیسک هم در پروسه دخیل است. در 10 درصد موارد دیگر نیز سرورهای دستکاریشده برای اسکن پورت استفاده شدند- به منظور جستجوی قربانیان جدید. در 8 درصد موارد هم حملهای روی سایر منابع شبکه از سرور رخ میداده است. انواع نادرترِ این فعالیتهای غیرقانونی که شامل سرورهای پلتفرم کلود سرقتی میشود عبارتند از: میزبانی بدافزار، محتوای ممنوعه یا هر دو، انجام حمله DDoS و توزیع اسپم.
اقدامات حاصله بعد از دستکاری
|
درصد
|
ماینینگ رمزارز
|
86%
|
اجرای اسکن پورت سایر تارگتها در فضای اینترنت
|
10%
|
اجرای حملات علیه تارگتهای اینترنت
|
8%
|
میزبانی بدافزار
|
6%
|
میزبانی محتوای غیرقانونی روی نت
|
4%
|
اجرای بات DDoS
|
2%
|
ارسال اسپم
|
2%
|
اگر فردی سرویس کلودی را هک کند و کریپتومایر را نیز نصب، اقدامات آنها نه تنها اعتبار کلاینت را خدشهدار میکند و وبسایت یا اپ خود نیز در معرض خطر قرار میگیرد که حتی قربانیان میتوانند با صورتحسابهای نجومی روبرو شوند (حتی اگر فعالیت مخرب چند ساعت راه افتاده باشد).
توصیههایی در باب امنیتدهی به GCP (پلتفرم کلود گوگل)
در بیشتر موادی که گوگل تحت مطالعه قرار داده است، کاربران توانستند با دنبال کردن الزامات امنیتیِ مینیمال خود را از دردسر دور کنند: به کار گیری پسوردهای قوی و نیز فاکتورهای احراز هویت مضاعف، آپدیت منظم نرمافزارهای نصبشده برای پچ کردن آسیبپذیریهای شناختهشده.
به طور کلی، سیستمهای کلود مانند هر نوع دیگر زیرساخت به اقدامات امنیتی و محافظتی نیاز دارند. آنها دستکم نیاز دارند مرتباً ممیزی شوند، فعالیتهای مخرب در آنها مورد نظارت قرار گیرد و دادههای حساس نیز ایزوله شوند. اما بکارگیری زیرساخت در سرویسهای عمومی کلود شامل برخی توصیههای اضافی هم میشود –و نه فقط برای سازمانهایی که از پلتفرم کلود گوگل استفاده میکنند. یکی از اصلیترینها –همانطور که خود گوگل هم اشاره میکند- راهاندازی هشدارهای اتوماتیک قراردادی برای تعیین زمانی است که مصرف منابع از آستانه مشخصی تجاوز کرده و هزینهها نیز به طور چشمگیری افزایش پیدا میکند.
[1] Google Cloud Platform
[2] Cryptominer
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.