I server Cloud di Dropbox e Google sono stati presi di mira da due campagne malware che hanno sfruttato le infrastrutture di comando per sferrare attacchi travestiti a tutti gli effetti da attività legittime.
In entrambi i casi, i pericoli sono stati scoperti da produttori di terze parti (Zscaler ed Elastica) e non dai provider stessi.
Come è potuto accadere che gli hacker siano riusciti a muoversi indisturbati senza che i provider di servizi Cloud si accorgessero di niente?
1) La storia dei Cloud malware
Innanzi tutto occorre dire che quanto accaduto non è una novità. Negli ultimi dieci anni si sono verificati diversi attacchi Cloud malware a diversi fornitori. Uno dei casi più ben documentati si è verificato nel 2009, quando il famigerato malware Zeus ha colpito il servizio EC2 di Amazon.
Non solo: alcune fonti del settore stimano che tra il 2007 e il 2009 si siano verificati fino a ottanta casi unici di attacchi malware contro EC2. Nel 2011 i ricercatori di Kaspersky hanno invece rilevato un virus SpyEye Trojan sul servizio di storage S3 di Amazon. All’inizio del 2014, inoltre, la società di servizi di sicurezza Solutionary nel suo rapporto trimestrale ha dichiarato che i servizi Cloud come Google e Amazon ospitano numerosi casi di malware, soprattutto nel caso di server con base negli Stati Uniti. Nel giugno dello stesso anno, i ricercatori di Trend Micro hanno descritto un caso unico di attacco mirato contro un ente governativo in cui il malware PlugX Trojan prese le sue istruzioni di comando e controllo da Dropbox.
2) Capire gli attacchi Cloud malware
Perché usare i server provider Cloud per ospitare malware e istruzioni dannose? Il primo motivo, secondo gli esperti, è la fiducia: ospitando contenuti e servizi dannosi in ambienti Cloud di provider molto noti, gli hacker sanno di avere maggiore probabilità che traffico e siti non saranno bloccati per dominio, così come la maggior parte delle aziende non eviterà arbitrariamente tutto il traffico da Google o Amazon. Ai cybercriminali, inoltre, piace il Cloud per la stessa ragione per cui piace alle aziende: il rapporto costo-efficacia e la capacità di calcolo scalabile. Come vengono preparati gli attacchi?
In molti casi sembra che gli hacker creino dei veri e propri account legittimi, spesso utilizzando metodi di pagamento rubati. In altri casi, gli aggressori dirottano account e siti che sono già in uso da parte degli utenti, trasformando questi ultimi in involontari untori di attacchi malware. Resta una domanda: perché i fornitori del servizio non rilevano il malware o i comportamenti dannosi che si annidano nel loro Cloud? La risposta è nei contratti di molti servizi Cloud: il fornitore non vigila sulle risorse impiegate dai clienti.
3) Come ci si può difendere?
Gli esperti sostengono che i fornitori di servizi Cloud non sembrano essere propensi a iniziare a prestare maggiore attenzione a questo tipo di attività nel prossimo futuro. La responsabilità ricade interamente sui clienti che devono monitorare e controllare tutte le attività all’interno della loro infrastruttura. Occorre configurare le impostazioni di registrazione e monitoraggio per tutte le attività basate sul Cloud, e tenere d’occhio tutti gli account abilitati ad amministrare il proprio ambiente virtuale.
Tutto il traffico da e verso le risorse interne deve essere monitorato e ogni eventuale schema di comunicazione atipico deve essere attentamente esaminato. Inoltre, è importante assicurasi che i fornitori siano in grado di comunicare con i sistemi interni, se possibile, bloccando tutto il traffico che non si dovrebbe vedere. Queste accortezze, secondo gli esperti, garantiranno maggiore sicurezza alle aziende e ridurranno la possibilità che le loro istanze Cloud possano essere utilizzate per diffondere campagne malware.