Rapid7: ‘Cybercriminelen vallen de cloud actief aan’
Cybercriminelen scannen actief de cloud op beveiligingsproblemen en proberen cloudomgevingen actief aan te vallen. Dit blijkt uit een onderzoek waarbij honeypots zijn opgezet op de zes grootste clouds ter wereld.
Het onderzoek is uitgevoerd door Rapid7, dat het onderzoek ‘Project Heisenberg Cloud’ noemt. Het bedrijf heeft honeypots geïnstalleerd op de clouds van Amazon Web Services, Microsoft Azure, Digital Ocean, Rackspace, Google Cloud Platform en IBM SoftLayer. Deze honeypots zijn bedoeld om cybercriminelen te verleiden deze aan te vallen. Dit maakt het mogelijk aanvallen die worden uitgevoerd op de cloud in kaart te brengen.
Raamwerk
Het bedrijf heeft een raamwerk ontwikkeld waarmee de honeypots kunnen worden aangestuurd en beheerd. “Het gaat om op maat gemaakte door Rapid7 ontwikkelde laag- en medium-interactie homepots die binnen het raamwerk worden gebruikt, in combinatie met open source varianten als cowrie”, legt Bob Rudis, Chief Data Scientist bij Rapid7, uit aan eWEEK. “Het raamwerk maakt het mogelijk ieder soort honeypot uit te rollen naar iedere Heisenberg node. Onder iedere agent is een volledig PCAP monitoring raamwerk aanwezig, dat met het oog op portabiliteit is geschreven in de Go programmeertaal.”
Vooraf aan het onderzoek heeft het onderzoeksteam van Rapid7 de hypothese opgesteld dat het soort aanvallen op verschillende cloud providers willekeurig verdeeld zouden zijn. Dit blijkt echter niet het geval te zijn. Zo blijkt op het Google Cloud Platform opvallend vaak poort 443 (HTTPS) te worden gescand. Rubis merkt overigens wel op dat door de wijze waarop Google capaciteit toevoegt aan de cloud omgeving van klanten in sommige gevallen subnets die voorheen waren gelabeld als ‘Google’ worden herlabeld als ‘Google Cloud’. Rubis stelt dat aanvallers daardoor mogelijk poort 443 scannen in een poging de Google IPv4 space onderzoeken en zich hiermee niet zo zeer richten op de op consumenten gerichte cloud van Google.
Mirai malware
In het onderzoek is ook gekeken naar de Mirai malware, waarvan de broncode begin oktober is vrijgegeven. Deze malware kan worden gebruikt om Internet of Things (IoT) apparaten te bemetten en deze onderdeel te maken van een botnet. Zo’n botnet werd ingezet bij de recente grootschalige DDoS-aanval op DNS-provider Dyn.
100.000 unieke IPv4 adressen met Mirai kenmerken
“We zien Mirai scans in iedere regio en bij iedere cloud provider”, zegt Rudis. In totaal zijn sinds 8 oktober zo’n 100.000 unieke IPv4 adressen ontdekt die kenmerken vertonen van de Mirai malware. Dit betekent overigens niet dat het Mirai botnet bestaat uit 100.000 unieke apparaten, aangezien Rapid7 alleen de zes grootste cloud providers heeft onderzocht. Rapid7 benadrukt dat al langer bekend is dat de Mirai malware zich ook op de cloud richt, maar dat het bedrijf niet had verwacht deze hoeveelheden besmettingen aan te treffen.
Dossiers
Meer over
Lees ook
Vultr lanceert Cloud Inference om modelimplementatie te vereenvoudigen en AI-applicaties automatisch wereldwijd te schalen
Vultr, 's werelds grootste private cloud computing platform, kondigt de lancering aan van Vultr Cloud Inference. Dit nieuwe serverloze platform revolutioneert de schaalbaarheid en het bereik van AI door wereldwijde inzet van AI-modellen en AI-inferentie mogelijk te maken.
InterCloud breidt diensten uit in Nederland
InterCloud, leverancier van software gedefinieerde cloud interconnectie (SDCI), breidt haar zaken uit op de Nederlandse markt, inclusief een kantoor in Amsterdam. Het bedrijf zet hiermee de volgende stap in het groeiproces. InterCloud managet end-to-end connectiviteit samen met de grootste cloudproviders wereldwijd.
Pure Storage biedt nieuwe self-service mogelijkheden
Pure Storage biedt nieuwe self-service mogelijkheden voor zijn Pure 1 storage beheerplatform en Evergreen-portfolio. De nieuwe mogelijkheden onderstrepen Pure Storage’s commitment om klanten complete, op software gebaseerde oplossingen te bieden via één platform.