Ваш аккаунт AWS может незаметно использоваться для майнинга криптовалют кем-то другим. Похитители криптовалют используют украденные учетные данные Amazon для добычи монет за счет клиентов AWS, злоупотребляя их сервисами Elastic Container Service (ECS) и Elastic Compute Cloud (EC2) в рамках продолжающейся операции, начавшейся 2 ноября.
Незаконная кампания по майнингу криптовалют использует скомпрометированные действительные учетные данные AWS Identity and Access Management (IAM) с «привилегиями администратора» — она не эксплуатирует уязвимость — а затем использует этот доступ для развертывания SBRMiner-MULTI на ECS и EC2, как сообщил на этой неделе в своем блоге инженер по безопасности Amazon Кайл Келлер.
«В течение 10 минут после получения первоначального доступа злоумышленником майнеры криптовалют уже работали», — написал Келлер.
Служба обнаружения угроз Amazon GuardDuty обнаружила операцию по майнингу криптовалют в нескольких учетных записях клиентов и уведомила их, как нам сообщили.
После того как злоумышленники получили скомпрометированные учетные данные AWS, они проверили квоты сервиса EC2, чтобы выяснить, сколько экземпляров они могут запустить, и протестировали разрешения своих учетных данных, многократно вызывая API RunInstances с включенным флагом DryRun. Это позволило им убедиться, что учетные данные имеют достаточные привилегии для продолжения незаконного майнинга, не понеся при этом вычислительных затрат и не рискуя быть обнаруженными.
Они также создали «десятки» кластеров ECS для обеспечения своей незаконной деятельности, иногда превышая 50 кластеров в одной атаке, и использовали группы автоматического масштабирования в EC2 для максимизации квот обслуживания и потребления ресурсов.
Чтобы затруднить прерывание работы — и, таким образом, позволить преступникам собрать больше криптовалюты с украденных ресурсов — они использовали ModifyInstanceAttribute с параметром disable API termination, установленным в true, для обеспечения устойчивости. Это блокирует завершение работы экземпляров AWS, используемых для майнинга, и заставляет жертв предпринять дополнительные действия — повторно включить завершение работы через API перед удалением затронутых ресурсов.
«Скриптовое использование злоумышленником нескольких вычислительных сервисов в сочетании с новыми методами обеспечения устойчивости представляет собой усовершенствование методологий обеспечения устойчивости майнинга криптовалют, о которых должны знать команды безопасности», — написал Келлер.
После развертывания майнеров злоумышленники создали функцию AWS Lambda, настроенную без аутентификации, и сделали ее доступной через общедоступный URL-адрес функции Lambda, что позволило им сохранить постоянный доступ к средам жертв.
Чтобы избежать злоупотреблений майнингом криптовалют, Amazon рекомендует использовать надежные средства управления идентификацией и доступом, а также временные учетные данные вместо долгосрочных ключей доступа. Как всегда, применяйте многофакторную аутентификацию (MFA) для всех пользователей и соблюдайте принцип наименьших привилегий для IAM. ®
Автор – Jessica Lyons
