Hogyan támadnak a kriptobányászok?
A támadók nem valamilyen sérülékenységet kihasználva szereztek hozzáférést, hanem érvényes belépési adatokat használtak fel feltört ügyfélfiókokból. Egy, a Docker Hubon közzétett konténerkép – több mint 100 000 letöltéssel – tette lehetővé, hogy az SBRMiner-MULTI kriptobányász és egy automatikusan induló szkript az ECS- és EC2-gépekre kerüljön. Minden konténernek 16 384 CPU-egységet és 32 GB memóriát állítottak be; Fargate-ben egyszerre 10-et, EC2-ben akár 999-et futtattak.
Újszerű védekezés a támadók részéről
A támadók egy külön trükköt is bevetettek: letiltották a távoli leállítást minden fertőzött gépen, így az adminisztrátorok csak további lépések árán tudják leállítani a bányászokat. Ez akadályozta a gyors védekezést, maximalizálva a támadók hasznát.
Az Amazon lépései és tanulságok
Miután az Amazon felismerte a támadást, azonnal értesítette az érintett ügyfeleket. Cserélni kellett a kompromittált hozzáférési adatokat. A Docker Hubról azóta eltávolították a rosszindulatú konténerképet, de elképzelhető, hogy hasonló támadások később ismét megjelennek más néven vagy más fiókból. Az incidens ismét rámutat, mennyire fontos a felhős fiókok védelme és a jogosultságok tudatos kezelése.
