Nagenoeg iedere recent gehackte Google Cloud-omgeving wordt benut voor cryptomining. Dat blijkt uit een onderzoek naar de meest toonaangevende Google Cloud-dreigingen van de afgelopen tijd.

Het Google Cybersecurity Action Team (GCAT) kwam in oktober 2021 tot stand. De tak houdt zich hoofdzakelijk bezig met securityconsultancy voor klanten van Google Cloud en onderzoek naar het dreigingslandschap van Google Cloud. Het laatstgenoemde komt voor het eerst tot uiting met een onderzoeksrapport: Threat Horizons. GCAT onderzocht het dreigingslandschap van Google Cloud om gebruikers van de dienst van inzicht te voorzien.

In het onderzoek komen een reeks interessante feiten naar voren. 86 procent van de 50 recentst gehackte Google Cloud-omgevingen werd benut om crypto te minen. In deze gevallen verkrijgt een hacker de beheerdersrechten van een Google Cloud-gebruiker om de cloud computing power van het slachtoffer in te zetten voor het minen van bitcoin en andere cryptovaluta. Slachtoffers lijden geen gegevensverlies, maar lopen het risico op torenhoge cloudkosten. Bij 10 procent van de gevallen werd het computing-vermogen gebruikt om openbare internetinformatie op schaal te scannen om nieuwe doelwitten te vinden.

Weinig nieuws

Op de verrassende dominantie van cryptomining na legt het rapport weinig nieuws op tafel. GCAT beschrijft Fancy Bear, een Russische phishing-groep die in september van dit jaar op meer dan twaalfduizend Gmail-adressen mikte. Fancy Bear staat al jarenlang op de radar van Microsoft en Yahoo.

Ook noemen de onderzoekers een voorval waarbij een hackgroep namens de Noord-Koreaanse overheid malware verspreidde door middel van social engineering. Professionals van Zuid-Koreaanse bedrijven ontvingen berichten met een zogenaamd baanaanbod, met daarin een PDF. De PDF was niet te openen. Hackers instrueerden de slachtoffers om naar een Google Drive te navigeren. Daar zouden zij een app vinden om de PDF mee te kunnen openen. De app bevatte malware. Dit proces heet spear-phishing. De methode is sinds jaar en dag geliefd onder cybercriminelen. GCAT presenteert het proces als nieuw.

Oplossingen

In het rapport geeft Google adviezen mee. De techgigant herinnert gebruikers van GitHub aan het feit dat persoonsgegevens in gepubliceerde open-source projecten kunnen belanden. Een regelmatige controle van projecten zou het probleem verhelpen. Ook verwijst Google naar het belang van tweestapsverificatie en securitymaatregelen als Context-Aware Access.