L’azienda di Mountain View ha pubblicato il primo numero del report Threat Horizons che descrive i vari tipi di attacchi rilevati nelle istanze di Google Cloud. Alcuni di essi sono stati effettuati con l’obiettivo di sfruttare le risorse cloud per generare criptovalute. Google ha indicato le possibili contromisure da attuare per evitare simili problemi di sicurezza.
Google Cloud per il mining delle criptovalute
In base alle rilevazioni del Threat Analysis Group (TAG) di Google, l’86% delle istanze cloud compromesse sono state utilizzate per il mining delle criptovalute. Questa è una delle attività più intensive, in quanto consuma le risorse hardware dei server, in particolare CPU e GPU (anche lo storage, nel caso di Chia).
Nel 58% dei casi, il software usato per generare le monete digitali è stato scaricato entro 22 secondi. Ciò significa che l’attacco è stato eseguito tramite script. Google spiega che la prevenzione mediante intervento umano è quasi impossibile, ma il cliente può verificare la presenza di eventuali vulnerabilità prima di rendere le istanze accessibili da Internet.
L’azienda di Mountain View ha inoltre scoperto che il 10% delle istanze cloud è stato sfruttato per cercare altri sistemi vulnerabili e l’8% per effettuare gli attacchi contro target esterni. Altre attività rilevate sono: installazione di malware (6%), copia di contenuti vietati (4%), lancio di bot DDoS (2%) e invio spam (2%).
L’accesso alle istanze di Google Cloud è stato possibile a causa della scarsa attenzione alla sicurezza da parte dei clienti. Nel 48% dei casi non era stata impostata una password oppure era facile da indovinare. Nel 26% dei casi, l’istanza ospitava un software vulnerabile di terze parti. Google suggerisce quindi di scegliere password robuste, aggiornare i software e sfruttare i vari servizi disponibili, tra cui Container Analysis, Web Security Scanner e il controllo degli accessi.