Злоумышленники взламывают аккаунты в Google Cloud и майнят криптовалюту

Отдел кибербезопасности Google опубликовал отчет, согласно которому злоумышленники взламывают плохо защищенные аккаунты в Google Cloud для использования облачных мощностей в майнинге криптовалют.

Как отмечает Overclockers.ua, в большинстве случаев программное обеспечение для майнинга криптовалюты было загружено в течение 22 секунд после взлома учетной записи, а сам взлом происходит с помощью брутфорса (перебора паролей).

Почти 75% взломов произошли из-за ненадежных пароле

Google заявил, что 86% из 50 недавно взломанных учетных записей Google Cloud использовались для майнинга криптовалюты. По словам Google, в большинстве случаев вредоносное ПО было загружено всего за 22 секунд после взлома учетной записи.

Майнинг криптовалюты требует больших вычислительных мощностей, доступ к которым клиенты Google Cloud могут получить доступ за дополнительную плату. Таким образом взломанные пользователи не просто теряют доступ к своим аккаунтом в сервисе, а еще и оплачивают услуги по выделению дополнительной мощности ради майнинга.

Около 10% скомпрометированных учетных записей также использовались для сканирования других общедоступных ресурсов и выявления уязвимых систем, а 8% использовались для атаки на другие цели.

В Google заявили, что злоумышленники смогли получить доступ к учетным записям Google Cloud, воспользовавшись плохой защитой самих пользователей — в 75% всех случаев подошел брутфорс или уже скомпрометированный пароль. Еще 25% взломов были связаны с уязвимостями в стороннем ПО, которое установили пользователи.

Рекомендации Google по защите аккаунтов

Google также опубликовала список рекомендаций, которые помогут пользователям избежать несанкционированного доступа и непредвиденных финансовых потерь:

• Проверяйте опубликованные проекты, чтобы убедиться, что сертификаты и учетные данные не раскрываются. Сертификаты и учетные данные по ошибке включаются в проекты, регулярно публикуемые на GitHub и других репозиториях. Аудиты помогают избежать этой ошибки. 
• Аутентифицировать загруженный код с помощью хеширования. Обычная практика, когда клиенты загружают обновления и код из облачных ресурсов, вызывает опасения, что в процессе может быть загружен неавторизованный код. Атаки Meddler in the Middle (MITM) могут привести к внедрению неавторизованного исходного кода в рабочую среду. Хеширование и проверка всех загрузок сохраняет целостность цепочки поставок программного обеспечения и устанавливает эффективную цепочку поставок.
• Используйте несколько уровней защиты для борьбы с кражей учетных данных и файлов cookie аутентификации. Ресурсы, размещенные в облаке, обладают преимуществом высокой доступности и доступа в любое время и в любом месте, что упрощает работу сотрудникам. Но злоумышленники также пытаются воспользоваться доступностью облака для компрометации облачных ресурсов. В дополнение к двухфакторной аутентификации администраторы облака должны усилить свою среду с помощью доступа с учетом контекста и таких решений, как BeyondCorp Enterprise и Work Safer.