Malware zit vaak verstopt in de cloud
De cloud blijkt een bron van kwaadaardige computerprogramma’s. Deze malware zit in zo’n tien procent van alle softwarepakketjes die clouddiensten beheren, zo ontdekten onderzoekers van de Amerikaanse universiteit Georgia Tech.
Vanuit de cloud komt de malware terecht op computers, vaak via advertenties op vertrouwde websites. Een verkeerde klik en de gebruiker zit in de penarie. Malware is een groeiend probleem voor bedrijven en consumenten. De kwaadaardige software kan allerlei dingen doen: hij kan een computer infecteren met spyware zodat kwaadwillenden persoonsgegevens kunnen stelen, het kan een computer via ransomware vergrendelen tot de gebruiker een bedrag betaalt of het kan een pc onderdeel maken van een botnet, waardoor deze ongezien gebruikt wordt om bijvoorbeeld spam te versturen.
Dat malware in de cloud zit is een probleem, omdat de software zich zo makkelijk kan verplaatsen over het internet. Opsporen is bovendien lastig, omdat de programma’s zich goed weten te verstoppen in de cloud. De kwaadaardige software blijkt zich vaak als ogenschijnlijk onschuldige gegevenspakketjes op te houden in datacentra. Pas als verschillende van zulke pakketjes samenkomen ontstaat de malware.
Speuren
Het opsporen was dan ook een hele klus. De onderzoekers keken eerst goed naar plekken waarvan bekend is dat er malware op staat en probeerden daar patronen te herkennen. Met die kennis schreven ze vervolgens een speurprogramma dat op zoek ging naar diezelfde patronen.
Daarmee liepen ze ruim 140.000 websites af, die verbonden waren met 20 verschillende clouddiensten. Op 700 websites vonden ze kwaadaardige pakketten. ‘Elke onderzochte cloud had wel problemen met malware’, vertelt hoofdonderzoeker Raheem Beya. ‘Zo’n tien procent van de pakketbronnen in deze clouds lijkt op de een of andere manier besmet’.
Bodyguard
De meeste van die bronnen leek onschuldig, maar was toch te herkennen als malware. Ze hadden namelijk een soort bodyguard voor hun deur staan, die scanners zoals het programma van Georgia Tech buiten de deur moeten houden. Dat was vaak een teken aan de wand dat er iets niet pluis was.
Raheem en zijn collega’s lieten de clouddiensten, die ze niet noemen in hun onderzoek, weten over de infectie voordat ze hun artikel presenteerden op een bijeenkomst voor informatici. Nu willen ze hun programma waarschijnlijk perfectioneren, om het daarna te verkopen aan een beveiligingsbedrijf dat daarmee effectiever malware kan bestrijden.
Beeld: Kaart waar de onderzoekers allemaal malware aantroffen in de cloud. Bron: Georgia Tech