Les pirates utilisent des comptes Google Cloud compromis pour l’extraction de crypto-monnaie
Google avertit que les cybercriminels compromettaient les comptes Google Cloud Platform (GCP) pour effectuer l’extraction de crypto-monnaie.
Le géant de l’Internet affirme que les acteurs malveillants téléchargent parfois un logiciel d’extraction de crypto-monnaie en seulement 22 secondes après avoir compromis les comptes cloud.
L’extraction de crypto-monnaie est une activité gourmande en ressources, tandis que les récompenses minières continuent de baisser dans un contexte d’augmentation des coûts de calcul. Cependant, les clients de Google Cloud ont accès à une puissance de calcul évolutive à un coût, faisant de leurs ressources cloud non sécurisées les cybercriminels cibles.
Google a publié les résultats dans son premier rapport Threat Horizons de la nouvelle équipe d’action sur la cybersécurité, qui tente de jeter un pont sur les informations collectives sur les menaces de l’entreprise pour obtenir des informations plus exploitables.
Les pirates exploitent les comptes Google Cloud les plus compromis pour l’extraction de crypto-monnaie
Google a découvert que sur les 50 instances Google Cloud récemment compromises, 86 % étaient utilisées à des fins d’extraction de crypto-monnaie.
Les pirates ont exploité 10 % supplémentaires des instances Google Cloud compromises pour rechercher sur Internet des systèmes vulnérables et 8 % pour attaquer d’autres cibles. Les attaquants ont exploité 6 % des comptes pour héberger des logiciels malveillants, 4 % pour héberger du contenu illégal, 2 % pour lancer des robots DDoS et 2 % pour envoyer du spam.
Les attaquants ont utilisé des ressources CPU/GPU sur des instances Google Cloud compromises pour l’extraction de crypto-monnaie ou l’espace de stockage pour l’extraction de Chia.
Google a attribué le piratage des comptes Google Cloud à une mauvaise hygiène de sécurité, notamment des mots de passe faibles ou inexistants et des erreurs de configuration. Selon le rapport, les attaquants ont exploité de mauvaises pratiques de sécurité ou des logiciels tiers vulnérables dans (75%) des incidents. Dans près de la moitié (48 %) des cas, les instances Google Cloud compromises n’avaient pas de mot de passe pour les comptes ou les connexions API. Dans plus d’un quart (26 %) des cas, les attaquants ont utilisé des logiciels tiers vulnérables installés par le propriétaire. De même, 12 % des attaques ont exploité des erreurs de configuration dans des instances cloud ou des logiciels tiers, tandis que 4 % provenaient de fuites d’informations d’identification.
Le délai minimum entre le déploiement d’une instance cloud vulnérable et la compromission était inférieur à 30 minutes. Dans 40 % des cas, les pirates ont compromis les instances en moins de 8 heures après le déploiement.
Google a suggéré que les attaquants scannaient régulièrement les adresses IP pour les instances cloud vulnérables. Selon les chercheurs, les attaquants ont analysé la plage d’adresses IP de Google Cloud au lieu d’instances d’utilisateurs spécifiques.
Dans 58% des incidents, les pirates ont téléchargé un logiciel d’extraction de crypto-monnaie sur les instances compromises dans les 22 secondes. Google a postulé que les attaquants ont automatisé le déploiement du logiciel d’extraction de crypto-monnaie pour procéder sans interaction humaine.
Google a noté qu’une réponse humaine à de tels incidents était impossible et a recommandé la mise en œuvre d’un mécanisme de réponse automatisé. De même, les clients du cloud doivent éviter de déployer des instances vulnérables comme première ligne de défense.
L’équipe de renseignement sur les menaces de Google a également découvert que des cybercriminels utilisaient de nouvelles tactiques pour abuser des services Google Cloud à des fins malveillantes. Par exemple, ils se sont inscrits à des projets d’essai gratuits en enregistrant de fausses entreprises pour obtenir des crédits de démarrage et accéder aux ressources de cloud computing de Google.
Pendant ce temps, les acteurs de la menace de l’État-nation russe APT28 ou Fancy Bear ont également utilisé les comptes Gmail de Google pour exécuter une campagne de phishing à grande échelle de plus de 12 000 messages de phishing. De même, des pirates informatiques nord-coréens se sont fait passer pour des employés de Samsung ciblant les travailleurs technologiques sud-coréens avec de fausses opportunités d’emploi.
Comment protéger les comptes Google Cloud
Les chercheurs ont conseillé aux clients de Google Cloud d’activer diverses mesures d’atténuation de sécurité pour protéger leurs instances de l’extraction de crypto-monnaie et d’autres menaces du cloud.
L’équipe a conseillé aux clients d’auditer leurs projets publiés pour s’assurer qu’ils n’exposent pas les informations d’identification de sécurité. De plus, ils doivent valider le code téléchargé pour éviter d’installer des mises à jour empoisonnées par des attaques de type man-in-the-middle (MITM).
De même, ils devraient ajouter une couche de sécurité pour rendre les informations d’identification compromises inutilisables en exigeant une authentification multifacteur.