Ett nytt intrång upptäckt av Palo Alto Networks sprider skadlig programvara som stjäl datakraft från företags molntjänster. Intrånget sätter den säkerhetsprogramvara som normalt skyddar företagens molnresurser ur spel. Angriparna utnyttjar sedan processorkraften för att utvinna kryptovaluta för egen vinning.
Teckna din prenumeration på Aktuell Säkerhet här
Intrången genomförs genom att utnyttja kända säkerhetsluckor i programvarorna Apache Struts 2, Oracle WebLogic och Adobe ColdFusion för att skaffa administratörskontroll och därefter använda denna för att avinstallera molnsäkerhetsverktyg. Det innebär att angriparna kunnat få fri tillgång till processorkraft, utan att riskera upptäckt.
I det här fallet riktade sig angriparna in på de största kinesiska leverantörerna av publika molntjänster, Tencent och Alibaba, som också växer internationellt. Även hos de större leverantörerna i Sverige, som Amazon Web Services, Microsoft Azure och Google Cloud, har det tidigare skett intrång men då till exempel med hjälp av stulna inloggningsuppgifter.
Enligt en rapport från Palo Alto Networks från i höstas har det dock sällan varit de publika molntjänsterna själva som varit problemet när det skett intrång tidigare. I stället är det vanligtvis deras kunders hantering av sina resurser i molnet som brustit.
Den aktuella skadliga programvaran liknar den tidigare uppmärksammade Xbash, och de som står bakom angreppet är en grupp, kallad Rocke, som är känd sedan tidigare. Nu menar Palo Alto Networks att den nya metoden sannolikt kommer få efterföljare och kan bli det första exemplet på en ny typ av säkerhetshot som drabbar molntjänster.
