Az AWS-t titokban kriptobányászatra használják a hackerek

Az Amazon AWS GuardDuty szolgáltatása figyelmeztetett: új, folyamatos kriptobányász-kampány használja ki feltört felhasználói fiókokat az Elastic Compute Cloud (EC2) és az Elastic Container Service (ECS) felhőszervereken. Az akció november 2-án indult, és a támadók tartósan fenn tudják tartani a bányászprogramokat, nehezítve a biztonsági szakemberek munkáját.

Hogyan támadnak a kriptobányászok?

A támadók nem valamilyen sérülékenységet kihasználva szereztek hozzáférést, hanem érvényes belépési adatokat használtak fel feltört ügyfélfiókokból. Egy, a Docker Hubon közzétett konténerkép – több mint 100 000 letöltéssel – tette lehetővé, hogy az SBRMiner-MULTI kriptobányász és egy automatikusan induló szkript az ECS- és EC2-gépekre kerüljön. Minden konténernek 16 384 CPU-egységet és 32 GB memóriát állítottak be; Fargate-ben egyszerre 10-et, EC2-ben akár 999-et futtattak.

Újszerű védekezés a támadók részéről

A támadók egy külön trükköt is bevetettek: letiltották a távoli leállítást minden fertőzött gépen, így az adminisztrátorok csak további lépések árán tudják leállítani a bányászokat. Ez akadályozta a gyors védekezést, maximalizálva a támadók hasznát.

Az Amazon lépései és tanulságok

Miután az Amazon felismerte a támadást, azonnal értesítette az érintett ügyfeleket. Cserélni kellett a kompromittált hozzáférési adatokat. A Docker Hubról azóta eltávolították a rosszindulatú konténerképet, de elképzelhető, hogy hasonló támadások később ismét megjelennek más néven vagy más fiókból. Az incidens ismét rámutat, mennyire fontos a felhős fiókok védelme és a jogosultságok tudatos kezelése.

2025, adrienne, www.bleepingcomputer.com alapján