AMBERSQUID превратила AWS в способ добычи криптовалюты

Недавно исследователями была обнаружена новая операция по криптоджекингу, нацеленная на ресурсы Amazon Web Services (AWS), такие какAmplify,FargateиSageMaker. Эта мошенническая кампания получила кодовое имя AMBERSQUID ибыла идентифицированакомпаниейSysdig, специализирующейся на облачной и контейнерной безопасности.

Согласно данным Алессандро Брукато, исследователя безопасности из Sysdig, операция AMBERSQUID смогла эксплуатировать облачные сервисы, не активируя требования AWS по утверждению дополнительных ресурсов.

«Целевые атаки сразу на несколько сервисов создают дополнительные проблемы в виде реагирования на инциденты, поскольку требуется время на поиск и уничтожение всех майнеров в каждом эксплуатируемом сервисе» — отметил Брукато.

Кампания была обнаружена после анализа 1,7 млн образов на платформе Docker, пишут в Securitylab. С умеренной уверенностью исследователи приписывают её хакерам из Индонезии, на что указывает использование индонезийского языка в скриптах и именах пользователей.

Мошенники разработали образы, предназначенные для выполнения майнеров криптовалют, загруженных из управляемых хакерами репозиториев на GitHub. Особенностью является злоупотреблениеCodeCommitдля создания частных репозиториев Git, которые затем используются в различных сервисах как источник.

Оценки Sysdig говорят о том, что потери от AMBERSQUID могут составить более $10 000 в день, если кампания будет масштабирована для атаки на все регионы использования AWS. Дополнительный анализ криптокошельков показал, что злоумышленники уже заработали более $18 300.

Это далеко не первый случай, когда индонезийские хакеры связаны с криптоджекинговыми кампаниями. В мае этого года специалисты Permisoподробно рассмотрелиактивность группировки под псевдонимом GUI-vil, который использовал сервис AWS Elastic Compute Cloud (EC2) для майнинга криптовалют.

Майкл Кларк, директор исследований угроз в Sysdig, заявил, что, вероятно, речь идёт о разных группах злоумышленников. Однако он подчеркнул, что подобные инциденты доказывают, что в Индонезии существует процветающее сообщество вокругкриптоджекинга.

Завершая свой отчёт, эксперты подчеркнули важность не пренебрегать безопасностью при использовании различных облачных сервисов и инструментов. Сервисы, такие как AWS Amplify, AWS Fargate и Amazon SageMaker, также могут быть уязвимыми, хотя и не так явно, как более популярные сервисы типа EC2.