Облако Alibaba беззащитно перед хакерами-майнерами, которые бьются друг с другом за лакомые ресурсы
Эксперты Trend Micro отметили активную конкуренцию между киберзлоумышленниками за инстансы Alibaba Cloud ECS. Дело доходит до скриптов, убивающих чужие вредоносные программы.
Полномочия на блюдечке
Хакеры активно атакуют облачные ресурсы компании Alibaba, Elastic Computing Services (ECS) для установки на ее серверы криптомайнеров и добычи криптовалют.
Пользователям ECS обещаны высокое быстродействие и защита от вредоносных программ — на ресурсы ECS устанавливаются защитные агенты. Однако, как выяснили эксперты компании TrendMicro, по умолчанию каждый инстанс Alibaba ECS обеспечивает административные права своим пользователям по умолчанию.
Вследствие этого злоумышленники, которым удалось скомпрометировать пользовательские аккаунты и заполучить реквизиты доступа, могут подключаться к целевым серверам через SSH сразу с привилегиями суперпользователя.
Злоумышленники также получают возможность создавать новые правила встроенного файерволла, чтобы заблокировать входящие пакеты из диапазона IP-адресов, зарезервированных за внутренними серверами Alibaba. Это лишает защитный агент возможности обнаружить подозрительное поведение. Далее злоумышленники могут с помощью определенных скриптов отключить защитный агент на скомпрометированном сервере вовсе.
Эксперты Trend Micro уведомили Alibaba о проблеме, но ответа еще не получили.
Пользователям ECS рекомендовано избегать запуска приложений с административными (root) привилегиями, использовать криптографические ключи для обеспечения доступа и устанавливать дополнительные средства защиты от вредоносного ПО в используемую облачную среду.
Конкуренция между злоумышленниками
Учитывая, как просто оказывается установить руткиты и криптомайнеры при наличии повышенных привилегий, неудивительно, что злоумышленники начали конкурировать друг с другом за захват инстансов Alibaba Cloud ECS. Исследователи Trend Micro обнаружили скрипты, которые пытаются отыскивать и отключать процессы, характерные для некоторых вредоносов и бэкдоров. Видимо, одни злоумышленники пытаются таким образом убивать вредоносные программы других.
Еще одна функция, которой активно пользуются злоумышленники, — это система автомасштабирования, которая позволяет облачной службе выделять дополнительные ресурсы в случае повышения количества пользовательских запросов.
Операторы криптомайнеров с удовольствием используют эту особенность с целью наращивания добычи криптовалют (в первую очередь, Monero). Естественно, это негативно сказывается на кошельке владельца сервера. А учитывая, что плата за аренду ECS взимается лишь раз в месяц, может пройти довольно продолжительное время, прежде чем владелец сервера поймет, что что-то не так.
Если автомасштабирование отключено, то криптомайнеры будут пытаться задействовать все доступные процессорные мощности, и это, скорее всего, вызовет заметное замедление работы ресурса.
«Криптомайнеры нуждаются в большом количестве вычислительных ресурсов, поэтому возможность скомпрометировать сервер или облачный инстанс — это большая удача для их операторов, — говорит Алексей Водясов, технический директор компании SEQ. — В данном случае низкая эффективность средств защиты ECS чрезвычайно упростила злоумышленникам задачу».
Теги:
похожие материалы
Роскомнадзор назвал страны-источники вредоносного трафика
Роскомнадзор сообщил, что доля зарубежного вредоносного трафика, поступающего в Россию, во втором полугодии 2025 года оставалась стабильно высокой.
Мошенники захватывают опубликованные домены Snap Email для распространения вредоносного ПО
Исследователи по кибербезопасности обнаружили новую тактику злоумышленников, которые используют захваченные опубликованные домены проекта Snap Email для размещения вредоносного ПО и фишинговых материалов.
Исследователи «перехватили» куки у авторов одного из крупнейших cookie-стилеров
Специалисты по кибербезопасности из CyberArk Labs рассказали о необычном случае исследования вредоносного ПО - им удалось извлечь активные session-cookies из инфраструктуры самого стилера, который предназначен для кражи куки у пользователей.
Приложения в App Store сливают данные пользователей
Исследователи обнаружили в App Store сотни приложений, сливающих пользовательские данные — от имён и адресов электронной почты до истории чатов.
Мошенники используют игру в кости в Telegram для обмана пользователей
В мессенджере Telegram злоумышленники начали применять схему обмана, основанную на виртуальной игре в кости, чтобы выманивать у людей деньги и личные данные.
Автоматизация инфраструктуры стала удобнее: клиентам Astra Automation доступна Ansible-коллекция для управления VMmanager
«Группа Астра» сообщает о новой интеграции платформы Astra Automation.
МВД предупредило о мошенничестве с совместными поездками и фейковыми чатами
В начале 2026 года мошенники начали активно использовать схему обмана, связанную с совместными поездками и поиском попутчиков.
Согласно исследованию OpenRouter, модели искусственного интеллекта из Китая становятся все более популярными
В 2024 году доля ИИ из Китая на мировом рынке составляла всего 1%, но в ноябре 2025 года она уже выросла до 15%.
Мошенники готовятся атаковать бизнес в России на фоне повышения ставки НДС
Мошенники начали готовиться к новой волне атак на российские компании на фоне повышения базовой ставки НДС до 22% с 1 января 2026 года.
Google и Mandiant выпустили «rainbow tables», чтобы ускорить отказ от протокола Net-NTLMv1
Специалисты по кибербезопасности из Google Threat Intelligence Group и Mandiant опубликовали большой набор так называемых «rainbow tables» для протокола аутентификации Net-NTLMv1.