Criptomineradores ameaçam servidores virtuais do Google Cloud Platform

No final de 2021, o Google divulgou seu primeiro relatório sobre ameaças típicas a usuários de nuvem, com foco na segurança do Google Cloud Platform. O serviço oferece aos clientes corporativos vários cenários para a construção de sistemas em nuvem, desde a simples hospedagem e execução de aplicativos individuais até a implantação de computação de alto desempenho.

Motivos para atacar instâncias do Google Cloud Platform

O relatório se concentra nas causas e consequências dos ataques a instâncias personalizadas do GCP, analisando 50 ataques bem-sucedidos recentes em servidores ou aplicativos personalizados. Dos casos analisados pelo Google, 48% foram resultado de uma senha fraca (ou nenhuma senha) para contas baseadas em servidor. Em 26% dos casos, os hackers usaram uma vulnerabilidade no software do servidor em nuvem. A configuração incorreta do servidor ou aplicativo permitiu 12% dos ataques e apenas 4% foram resultado de vazamentos de senha ou chave de acesso.

Esta última categoria inclui um erro comum para desenvolvedores: carregar dados de autenticação junto com o código-fonte para um repositório público no GitHub ou outro serviço semelhante. De acordo com um relatório do GitGuardian, até 5.000 “segredos” (chaves de API, pares de senha/nome de usuário, certificados) são carregados no GitHub todos os dias, e em 2020 houve 2 milhões de vazamentos.

Vulnerabilidades que deixam servidores abertos a hackers, de acordo com o Google. Senhas fracas ou ausentes permitiram a maioria dos ataques. Fonte.

O Google destaca que os cibercriminosos tendem a não visar empresas específicas, em vez disso, verificam regularmente toda a gama de endereços IP pertencentes ao Google Cloud Platform em busca de instâncias vulneráveis. A implicação dessa automação é clara: se você tornar um servidor desprotegido acessível pela Internet, é quase certo que ele será invadido e provavelmente logo (em alguns casos, o ataque começou 30 minutos após a criação de uma nova instância). O tempo entre a invasão e o início da atividade maliciosa é ainda menor, com a maioria dos servidores atacados sendo colocados em operação ilegal em meio minuto.

Por que os invasores buscam instâncias do Google Cloud Platform

O que os cibercriminosos fazem com os recursos da nuvem depois de hackeá-los? Na grande maioria dos casos (86%), um criptominerador (programa que utiliza os recursos de outros para gerar criptomoeda) foi instalado no servidor. Mais comumente, são recursos de CPU/GPU, mas o relatório também menciona a mineração da criptomoeda Chia, que envolve a exploração de espaço livre em disco. Em outros 10% dos casos, os servidores comprometidos foram usados para varredura de portas — para procurar novas vítimas. Em 8% dos casos, um ataque a outros recursos de rede foi feito a partir do servidor. Tipos mais raros de atividades ilegais que envolvem servidores de plataforma de nuvem sequestrados incluem: hospedagem de malware, conteúdo proibido ou ambos; realizar ataques DDoS; e distribuição de spam.

Tipos de atividade maliciosa em servidores de nuvem invadidos. Em alguns casos, vários tipos de operações ilegais foram realizados simultaneamente. Fonte.

Se alguém hackear um serviço de nuvem e instalar um criptominerador, suas ações não apenas prejudicam a reputação do cliente e colocam em risco o acesso ao seu próprio aplicativo ou site, mas as vítimas também podem enfrentar contas de serviço de fazer chorar, mesmo com apenas algumas horas de atividade.

Recomendações para proteger instâncias do GCP

Na maioria dos casos estudados pelo Google, os usuários poderiam ter evitado problemas seguindo requisitos mínimos de segurança: empregando senhas fortes e fatores de autorização adicionais; garantindo a devida diligência ao carregar o código-fonte; e atualizando regularmente o software instalado para corrigir vulnerabilidades conhecidas.

Em geral, os sistemas em nuvem exigem as mesmas medidas de proteção que qualquer outro tipo de infraestrutura. Eles precisam, no mínimo, de auditorias regulares, monitoramento de atividades suspeitas e isolamento de dados críticos.

Mas a implantação de infraestrutura em serviços de nuvem pública envolve algumas recomendações extras — e não apenas para organizações que usam o Google Cloud Platform. Um dos principais, como observa o Google, é definir alertas condicionais automáticos para determinar quando o consumo de recursos excede determinados limites ou para detectar um rápido aumento nos custos.