کریپتوماینرها این بار سرورهای مجازی GCP را تهدید می‌کنند

۱۴۰۰/۱۰/۲۲امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اواخر سال 2021 گوگل در باب تهدیدهای معمول برای کاربران کلود خود اولین گزارش را منتشر کرد که محوریت آن امنیت پلت‌فرم گوگل کلود[1] بود. این سرویس به کلاینت‌های سازمانی برای ساخت سیستم‌های کلود سناریوهای مختلف ارائه می‌دهد از صرفاً میزبانی و اجرای اپ‌های جداگانه گرفته تا به کارگیری رایانش‌هایی با کارایی بالا.

دلایل حمله به پلت‌فرم کلود گوگل

این گزارش تمرکزش روی دلایل و پیامدهای حملات به نمونه‌های سفارشی GCP بوده است و در آن 50 حمله موفق که اخیراً روی سرورهای سفارشی یا اپ‌ها صورت گرفته مورد تحلیل قرار گرفتند. از بین موارد آنالیزشده توسط گوگل، 48 درصد آن‌ها ناشی از پسورد ضعیف (یا عدم پسورد) برای اکانت‌های مبتنی بر سرور بوده است. در 26 درصد موارد نیز هکرها از آسیب‌پذیری داخل نرم‌افزار سرور کلودی استفاده کرده بودند. تنظیمات نادرست اپ یا سرور 12 درصد این حملات را موجب شد و فقط 4 درصد حملات در پی نشت پسورد یا کلید دسترسی رخ دادند. دسته‌بندی دوم شامل اروری می‌شود که البته برای توسعه‌دهندگان چندان عجیب هم به نظر نمی‌رسد: آپلود داده‌های احراز هویت به همراه کد منبع یک ذخیره عمومی روی گیت‌هاب یا سرویسی مشابه. به نقل از گزارشی که GitGuardian تهیه کرده است تا 5 هزار داده محرمانه ( کلیدهای API، ترکیب نام کاربری و رمزعبور، گواهی‌ها) هر روز در گیت‌هاب آپلود می‌شوند و در سال 2020 شاهد 2 میلیون نشت داده محرمانه از این دست بوده‌ایم.

آسیب‌پذیری‌های اکسپلویت‌شده

درصد

ضعیف یا عدم پسوردی برای اکانت کاربری یا عدم احراز هویت
برای APIها

48%

آسیب‌پذیری در نرم‌افزارهای طرف‌سوم در کلود اکسپلویت شده است

26%

سایر مسائل

 

12%

تنظیمات نادرست کلود یا نرم‌افزار طرف‌سوم

12%

اطلاعات محرمانه نشت‌شده مانند کلیدهایی در پروژه‌های گیت‌هاب

4%

 

گوگل خاطرنشان می‌کند که مجرمان سایبری قصد ندارند شرکت‌های خاصی را مورد حمله قرار دهند و در عوض به طور منظم کل دامنه آدرس‌های آی‌پی را که به پلت‌فرم کلود گوگل تعلق دارد را در جستجوی موارد آسیب‌پذیری اسکن می‌کنند. مفهوم این اتوماسیون هم واضح است: اگر از اینترنت سرور محافظت‌نشده‌ای قابلیت دسترسی پیدا کند به طور قطعهک خواهد شد و شاید حتی این رخداد خیلی زود هم باشد (در بسیاری از موارد حمله در عرض چند دقیقه اتفاق می‌افتد). فاصله زمانی بین هک و شروع فعالیت مخرب حتی کوتاهتر نیز هست؛ بیشتر سرورهای مورد حمله واقع‌شده در نیم دقیقه مورد عملیات‌های غیرقانونی قرار می‌گیرند.

چرا مهاجمین به پلت‌فرم کلود گوگل هجوم آورده‌اند؟

در اکثریت قریب به اتفاق موارد (86 درصد) یک کریپتوماینر[2] (برنامه‌ای که از منابع دیگران برای تولید رمزارز استفاده می‌کند) روی سرور نصب می‌شود. بیشتر اینطور رایج است که این کریپتوماینرها منابع CPU/GPU باشند اما این گزارش همچنین به این مسئله اشاره دارد که اکسپلویت فضای آزاد دیسک هم در پروسه دخیل است. در 10 درصد موارد دیگر نیز سرورهای دستکاری‌شده برای اسکن پورت استفاده شدند- به منظور جستجوی قربانیان جدید. در 8 درصد موارد هم حمله‌ای روی سایر منابع شبکه از سرور رخ می‌داده است. انواع نادرترِ این فعالیت‌های غیرقانونی که شامل سرورهای پلت‌فرم کلود سرقتی می‌شود عبارتند از: میزبانی بدافزار، محتوای ممنوعه یا هر دو، انجام حمله DDoS و توزیع اسپم.

اقدامات حاصله بعد از دستکاری

درصد

ماینینگ رمزارز

86%

اجرای اسکن پورت سایر تارگت‌ها در فضای اینترنت

10%

اجرای حملات علیه تارگت‌های اینترنت

8%

میزبانی بدافزار

6%

میزبانی محتوای غیرقانونی روی نت

4%

اجرای بات DDoS

2%

ارسال اسپم

2%

 

اگر فردی سرویس کلودی را هک کند و کریپتومایر را نیز نصب، اقدامات آن‌ها نه تنها اعتبار کلاینت را خدشه‌دار می‌کند و وبسایت یا اپ خود نیز در معرض خطر قرار می‌گیرد که حتی قربانیان می‌توانند با صورت‌حساب‌های نجومی روبرو شوند (حتی اگر فعالیت مخرب چند ساعت راه افتاده باشد).

توصیه‌هایی در باب امنیت‌دهی به GCP (پلت‌فرم کلود گوگل)

در بیشتر موادی که گوگل تحت مطالعه قرار داده است، کاربران توانستند با دنبال کردن الزامات امنیتیِ مینیمال خود را از دردسر دور کنند: به کار گیری پسوردهای قوی و نیز فاکتورهای احراز هویت مضاعف، آپدیت منظم نرم‌افزارهای نصب‌شده برای پچ کردن آسیب‌پذیری‌های شناخته‌شده.

به طور کلی، سیستم‌های کلود مانند هر نوع دیگر زیرساخت به اقدامات امنیتی و محافظتی نیاز دارند. آن‌ها دست‌کم نیاز دارند مرتباً ممیزی شوند، فعالیت‌های مخرب در آن‌ها مورد نظارت قرار گیرد و داده‌های حساس نیز ایزوله شوند. اما بکارگیری زیرساخت در سرویس‌های عمومی کلود شامل برخی توصیه‌های اضافی هم می‌شود –و نه فقط برای سازمان‌هایی که از پلت‌فرم کلود گوگل استفاده می‌کنند. یکی از اصلی‌ترین‌ها –همانطور که خود گوگل هم اشاره می‌کند- راه‌اندازی هشدارهای اتوماتیک قراردادی برای تعیین زمانی است که مصرف منابع از آستانه مشخصی تجاوز کرده و هزینه‌ها نیز به طور چشمگیری افزایش پیدا می‌کند.

 

[1]  Google Cloud Platform

[2] Cryptominer

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.