Rapid7: ‘Cybercriminelen vallen de cloud actief aan’
Cybercriminelen scannen actief de cloud op beveiligingsproblemen en proberen cloudomgevingen actief aan te vallen. Dit blijkt uit een onderzoek waarbij honeypots zijn opgezet op de zes grootste clouds ter wereld.
Het onderzoek is uitgevoerd door Rapid7, dat het onderzoek ‘Project Heisenberg Cloud’ noemt. Het bedrijf heeft honeypots geïnstalleerd op de clouds van Amazon Web Services, Microsoft Azure, Digital Ocean, Rackspace, Google Cloud Platform en IBM SoftLayer. Deze honeypots zijn bedoeld om cybercriminelen te verleiden deze aan te vallen. Dit maakt het mogelijk aanvallen die worden uitgevoerd op de cloud in kaart te brengen.
Raamwerk
Het bedrijf heeft een raamwerk ontwikkeld waarmee de honeypots kunnen worden aangestuurd en beheerd. “Het gaat om op maat gemaakte door Rapid7 ontwikkelde laag- en medium-interactie homepots die binnen het raamwerk worden gebruikt, in combinatie met open source varianten als cowrie”, legt Bob Rudis, Chief Data Scientist bij Rapid7, uit aan eWEEK. “Het raamwerk maakt het mogelijk ieder soort honeypot uit te rollen naar iedere Heisenberg node. Onder iedere agent is een volledig PCAP monitoring raamwerk aanwezig, dat met het oog op portabiliteit is geschreven in de Go programmeertaal.”
Vooraf aan het onderzoek heeft het onderzoeksteam van Rapid7 de hypothese opgesteld dat het soort aanvallen op verschillende cloud providers willekeurig verdeeld zouden zijn. Dit blijkt echter niet het geval te zijn. Zo blijkt op het Google Cloud Platform opvallend vaak poort 443 (HTTPS) te worden gescand. Rubis merkt overigens wel op dat door de wijze waarop Google capaciteit toevoegt aan de cloud omgeving van klanten in sommige gevallen subnets die voorheen waren gelabeld als ‘Google’ worden herlabeld als ‘Google Cloud’. Rubis stelt dat aanvallers daardoor mogelijk poort 443 scannen in een poging de Google IPv4 space onderzoeken en zich hiermee niet zo zeer richten op de op consumenten gerichte cloud van Google.
Mirai malware
In het onderzoek is ook gekeken naar de Mirai malware, waarvan de broncode begin oktober is vrijgegeven. Deze malware kan worden gebruikt om Internet of Things (IoT) apparaten te bemetten en deze onderdeel te maken van een botnet. Zo’n botnet werd ingezet bij de recente grootschalige DDoS-aanval op DNS-provider Dyn.
100.000 unieke IPv4 adressen met Mirai kenmerken
“We zien Mirai scans in iedere regio en bij iedere cloud provider”, zegt Rudis. In totaal zijn sinds 8 oktober zo’n 100.000 unieke IPv4 adressen ontdekt die kenmerken vertonen van de Mirai malware. Dit betekent overigens niet dat het Mirai botnet bestaat uit 100.000 unieke apparaten, aangezien Rapid7 alleen de zes grootste cloud providers heeft onderzocht. Rapid7 benadrukt dat al langer bekend is dat de Mirai malware zich ook op de cloud richt, maar dat het bedrijf niet had verwacht deze hoeveelheden besmettingen aan te treffen.
Dossiers
Meer over
Lees ook
Kyndryl en Cloudflare gaan strategisch samenwerken voor innovaties multi-cloud en zero trust security
IT-infrastructuurdienstverlener Kyndryl en connectiviteitscloudbedrijf Cloudflare hebben een Global Strategic Alliance bekendgemaakt. Dit betreft een uitbreiding van hun samenwerking om bedrijven in staat te stellen netwerken te migreren en te beheren
Veilig werken in de Cloud: 4 tips
Gelukkig zijn de afgelopen jaren veel verschillende technieken bedacht om de veiligheid in de Cloud te verbeteren. Dit heb je daarom ook voor een groot deel zelf in de hand. Maar waar moet je aan denken bij het verhogen van de veiligheid tijdens het werken met clouddiensten? In dit artikel zetten we vier nuttige tips op een rij die hierbij kunnen1
Cloudera en NVIDIA gaan generatieve AI uitbreiden met NVIDIA-microservices
Cloudera gaat meer met NVIDIA samenwerken. Cloudera Powered by NVIDIA gaat de NVIDIA NIM microservices integreren, die deel uitmaken van NVIDIA AI Enterprise, in Cloudera Machine Learning. Dat is een Cloudera Data Platform-service voor AI/ML-workflows, om snelle, veilige generatieve AI-workflows voor bedrijfsprocessen te leveren.