Взломанные экземпляры Google Cloud Platform захвачены криптомайнерами

Исследование, проведённое специалистами Google Cloud, показало, что 86% взломанных экземпляров Google Cloud Platform (GCP) в 2021 году привели к тому, что майнеры криптовалюты попали в среду клиентов.

Взломанные экземпляры Google Cloud Platform захвачены криптомайнерами. Фото: Kampus Production, Pexels

Майнеры криптовалюты, устанавливаемые в облачных инстансах, были основной проблемой, с которой столкнулись клиенты GCP в этом году. В 58% скомпрометированных инстансов криптомайнеры были установлены всего за 22 секунды после того, как злоумышленники получили доступ.

В группе анализа угроз (TAG) Google Cloud заявили, что это заставило их поверить, что процесс управляется сценариями и не требует вмешательства человека.

Клиенты GCP подвергались серьёзным атакам, поскольку злоумышленники пытались использовать доступные им вычислительные ресурсы высокого уровня, не оплачивая счет.

Исследование Google Cloud также показало, что облачные экземпляры были взломаны всего за 30 минут, а большинство из них - всего за восемь часов.

В TAG заметили, что злоумышленники отслеживают пространство общедоступных IP-адресов на наличие признаков незащищенных экземпляров GCP, зная, как быстро они могут скомпрометировать каждый из них.

Из сообщения TAG:

«Учитывая, что большинство экземпляров использовалось для майнинга криптовалюты, а не для кражи данных, аналитики Google пришли к выводу, что диапазон IP-адресов Google Cloud был просканирован, и атаки не были нацелены на конкретных клиентов Google Cloud. Время от запуска уязвимого экземпляра Google Cloud до взлома варьировалось, самое короткое время составляло менее 30 минут»

Исследователи TAG также отметили, что злоумышленники получили доступ к экземплярам GCP почти в 75% всех случаев, используя неэффективные методы обеспечения безопасности клиентов.

В половине этих случаев GCP были скомпрометированы из-за слабых паролей учетных записей пользователей или подключения или их отсутствия.

Это означало, что незащищенные экземпляры GCP были взломаны с минимальными трудностями.

В 26% случаев клиенты Google Cloud также были виноваты в установке стороннего программного обеспечения в свой экземпляр, которое затем использовалось для получения доступа.

Основные рекомендуемые меры по устранению недостатков, позволяющих злоумышленникам использовать экземпляры GCP, в Google Cloud включают надежные пароли , обновление стороннего программного обеспечения и отказ от публикации учетных данных в проектах GitHub .

Клиентам GCP также доступен анализ контейнеров для выполнения сканирования уязвимостей и хранения метаданных для контейнеров, а Сканер веб-безопасности в Центре управления безопасностью может выявлять уязвимости безопасности в их веб-приложениях App Engine, Google Kubernetes Engine и Compute Engine.

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме