Rapid7: ‘Cybercriminelen vallen de cloud actief aan’
Cybercriminelen scannen actief de cloud op beveiligingsproblemen en proberen cloudomgevingen actief aan te vallen. Dit blijkt uit een onderzoek waarbij honeypots zijn opgezet op de zes grootste clouds ter wereld.
Het onderzoek is uitgevoerd door Rapid7, dat het onderzoek ‘Project Heisenberg Cloud’ noemt. Het bedrijf heeft honeypots geïnstalleerd op de clouds van Amazon Web Services, Microsoft Azure, Digital Ocean, Rackspace, Google Cloud Platform en IBM SoftLayer. Deze honeypots zijn bedoeld om cybercriminelen te verleiden deze aan te vallen. Dit maakt het mogelijk aanvallen die worden uitgevoerd op de cloud in kaart te brengen.
Raamwerk
Het bedrijf heeft een raamwerk ontwikkeld waarmee de honeypots kunnen worden aangestuurd en beheerd. “Het gaat om op maat gemaakte door Rapid7 ontwikkelde laag- en medium-interactie homepots die binnen het raamwerk worden gebruikt, in combinatie met open source varianten als cowrie”, legt Bob Rudis, Chief Data Scientist bij Rapid7, uit aan eWEEK. “Het raamwerk maakt het mogelijk ieder soort honeypot uit te rollen naar iedere Heisenberg node. Onder iedere agent is een volledig PCAP monitoring raamwerk aanwezig, dat met het oog op portabiliteit is geschreven in de Go programmeertaal.”
Vooraf aan het onderzoek heeft het onderzoeksteam van Rapid7 de hypothese opgesteld dat het soort aanvallen op verschillende cloud providers willekeurig verdeeld zouden zijn. Dit blijkt echter niet het geval te zijn. Zo blijkt op het Google Cloud Platform opvallend vaak poort 443 (HTTPS) te worden gescand. Rubis merkt overigens wel op dat door de wijze waarop Google capaciteit toevoegt aan de cloud omgeving van klanten in sommige gevallen subnets die voorheen waren gelabeld als ‘Google’ worden herlabeld als ‘Google Cloud’. Rubis stelt dat aanvallers daardoor mogelijk poort 443 scannen in een poging de Google IPv4 space onderzoeken en zich hiermee niet zo zeer richten op de op consumenten gerichte cloud van Google.
Mirai malware
In het onderzoek is ook gekeken naar de Mirai malware, waarvan de broncode begin oktober is vrijgegeven. Deze malware kan worden gebruikt om Internet of Things (IoT) apparaten te bemetten en deze onderdeel te maken van een botnet. Zo’n botnet werd ingezet bij de recente grootschalige DDoS-aanval op DNS-provider Dyn.
100.000 unieke IPv4 adressen met Mirai kenmerken
“We zien Mirai scans in iedere regio en bij iedere cloud provider”, zegt Rudis. In totaal zijn sinds 8 oktober zo’n 100.000 unieke IPv4 adressen ontdekt die kenmerken vertonen van de Mirai malware. Dit betekent overigens niet dat het Mirai botnet bestaat uit 100.000 unieke apparaten, aangezien Rapid7 alleen de zes grootste cloud providers heeft onderzocht. Rapid7 benadrukt dat al langer bekend is dat de Mirai malware zich ook op de cloud richt, maar dat het bedrijf niet had verwacht deze hoeveelheden besmettingen aan te treffen.
Dossiers
Meer over
Lees ook
Eerste Nederlandse soevereine cloudplatform haalt 99,999% uptime
Het Nederlandse soevereine cloudplatform dat Varity in 2024 lanceerde, heeft als één van de eerste Europese platforms een gemeten beschikbaarheid van meer dan 99,999% bereikt (*), een technische én strategische mijlpaal die aantoont dat moderne cloudinfrastructuur perfect Europees kan zijn.
SUSE en evroc werken samen aan soevereine Europese cloudoplossingen
evroc, de Europese cloud, en SUSE, wereldwijd leider in zakelijke open source-oplossingen, zijn een samenwerking aangegaan. Het doel is om Europese bedrijven te voorzien van een soevereine Europese oplossing die cloudinfrastructuur met cloudbeheer verenigt.
Orange Business migreert 70% van IT-infrastructuur naar Bleu
Orange Business zet een belangrijke stap in de modernisering van zijn IT-infrastructuur: 70% wordt gemigreerd naar Bleu, de cloud van Capgemini en Orange. Blue biedt Microsoft-diensten aan in een ‘betrouwbare cloud’ die voldoet aan de specifieke behoeften van de overheid en kritieke sectoren.