Os cibercriminososos descobriram uma nova maneira de fazer o serviço de nuvem da Amazon deflagrar potentes ataques de negação de serviço (DDoS) contra sites de terceiros, explorando vulnerabilidades de segurança numa aplicação analítica de código aberto e hospedada pela empresa, conhecida como Elasticsearch. A estratégia é baseada principalmente no uso do Backdoor.Linux.Ganiw.a, foi descoberta em maio e documentada pelo pesquisador Kurt Baumgartner, do Kaspersky Labs. Entre outras coisas, o trojan faz amplificação de DNS, uma técnica que aumenta muito o volume de tráfego inútil dirigido a uma vítima, por meio do abuso de servidores de DNS com segurança fraca. Com o envio de consultas de DNS malformadas mas parecendo vir do domínio vítima, a amplificação de DNS pode aumentar o ataque em dez vezes ou mais. Essa técnica pode ser especialmente difícil de bloquear quando distribuída entre milhares ou centenas de milhares de computadores contaminados.
O Elastisearch permite que aplicativos realizem funções analíticas e de pesquisa em vários serviços em nuvem, incluindo os da Amazon. Baumgartner disse que as versões 1.1.x estão ativas em algumas operações comerciais. A vulnerabilidade não está presente nas versões 1.2 e 1.3, em parte por causa do script dinâmico desabilitado por padrão. “O ataque é tão forte que a Amazon está agora notificando os seus clientes, provavelmente por causa do potencial de cobrança de uso de recursos excessivos”, escreveu Baumgartner. “A situação é provavelmente semelhante em outros provedores de nuvem. A lista das DDoS vítimas inclui um grande banco regional dos EUA e um grande fabricante de eletrônicos e prestador de serviços no Japão, indicando os seus autores sejam provavelmente especializados em cibercrimes financeiros”, disse ele.
