Unit 42, de malwarespecialisten van beveiligingsspecialist Palo Alto Networks, hebben voor de eerste keer malware ontdekt die zich specifiek richt op toepassingen voor het beveiligen van cloudomgevingen en in staat bleek te zijn deze te verwijderen.

De beveiligingstoepassingen voor publieke cloudomgevingen blijken niet meer zo veilig als gedacht. Volgens de malwarespecialisten van de Amerikaanse securityspecialist zijn zij voor de eerste keer specifieke malware tegengekomen die zich speciaal op beveiligingstoepassingen voor publieke cloudomgevingen richt.

Cloudbeveiliging van publieke cloudomgevingen

Concreet ging het om aanvallen van de Rocke group van hackers die zich hierbij speciaal richtten op vijf cloudbeveiligingsproducten voor de Chinese publieke cloudomgevingen van Tencent Cloud en Alibaba Cloud. In hun aanval kregen de aanvallers kregen eerst volledige administratieve controle over de hosts en misbruikten vervolgens die volledige administratieve controle om deze producten te verwijderen. De code die de hackers daarvoor gebruikten was een variant van Linux coin mining malware.

De Unit 42 malware-specialisten van Palo Alto Networks signaleerden verder dat de aangevallen cloudsecurity-producten zelf niet gecompromitteerd zijn, maar dat op deze manier het wel mogelijk werd deze te verwijderen, zoals bijvoorbeeld beheerders kunnen doen.

Belangrijkste conclusies

De belangrijkste conclusie die Unit 42 uit dit voorbeeld trekt, is dat in de eerste plaats publieke cloudomgevingen steeds meer in de belangstelling van kwaadwillenden staan en dat deze aanval een eerste signaal is van wat er nog allemaal aankomt.

Een andere conclusie is dat, nu specifiek aanvallen op beveiligingstoepassingen voor publieke cloudomgevingen worden uitgevoerd, agent gebaseerde cloudsecurityproducten niet meer voldoende zijn om evasive malware te ontdekken en te bestrijden. Kortom, beveiligers van publieke cloudomgevingen krijgen de komende tijd met meer uitdagingen te maken.