Google 日前發表 11 月份的《Threat Horizons》雲端威脅情資報告指出,絕大部分遭受駭客攻擊的 Google Cloud Platform(GCP)帳號都被用來進行加密貨幣挖礦。
GCP(Google Cloud Platform)是 Google 提供的企業雲端平台服務,包含了運算(如 Compute Engine 、 Google Kubernetes Engine)、資料分析(如 BigQuery 、 Cloud Dataflow)、儲存(Cloud Storage 、 Cloud Filestore)以及 API 管理(如 Apigee API 平台、 API 數據分析)、機器學習(如 Cloud TPU 、 Cloud Machine Learning Engine)等眾多產品。
據 Google 透露,資安團隊觀察到惡意行為者在受感染的雲端實例中進行加密貨幣挖礦,而且在最近被入侵的 50 個 GCP 實例中,竟有多達 86% 的帳號隨後被用於執行加密貨幣挖礦;也就是說,駭客將從挖礦中獲利,但被盜的受害者仍需為 GCP 服務付費。
Google 表示,在受感染的案例中,有多達 48% 的用戶帳號密碼較弱或根本沒有設密碼,或者沒有 API 身份驗證,而這也正是駭客能得逞的頭號原因;26% 的事件是由於第三方軟體的漏洞造成;12% 歸因於「其他問題」;另外 12% 則是因為錯誤配置或第三方軟體;最後只有 4% 的駭客攻擊是洩露憑據(例如將密鑰發布到 GitHub)。
Google 認為,許多攻擊都是透過植入惡意腳本自動執行的,過程中可能根本不需要人工操作,因為資安團隊發現,在 58% 的情況下,帳號被入侵後的 22 秒內就下載了挖礦軟體。報告指出,手動執行腳本幾乎是不可能的,因此用戶應該確保系統安全,或者安裝自動化系統來低於攻擊。
Google 續稱,在大多數情況下,受害者並不是由駭客專門選擇的,而是利用程式掃描 Google Cloud IP,並尋找任何易受攻擊、脆弱的系統,短短 30 分鐘內就能鎖定攻擊目標。