Золотая жила: как AMBERSQUID превратил AWS в криптоджекинговую шахту

Недавно исследователями была обнаружена новая операция по криптоджекингу, нацеленная на ресурсы Amazon Web Services (AWS), такие как Amplify, Fargate и SageMaker. Эта мошенническая кампания получила кодовое имя AMBERSQUID и была идентифицирована компанией Sysdig, специализирующейся на облачной и контейнерной безопасности.

Согласно данным Алессандро Брукато, исследователя безопасности из Sysdig, операция AMBERSQUID смогла эксплуатировать облачные сервисы, не активируя требования AWS по утверждению дополнительных ресурсов.

«Целевые атаки сразу на несколько сервисов создают дополнительные проблемы в виде реагирования на инциденты, поскольку требуется время на поиск и уничтожение всех майнеров в каждом эксплуатируемом сервисе» — отметил Брукато.

Кампания была обнаружена после анализа 1,7 млн образов на платформе Docker. С умеренной уверенностью исследователи приписывают её хакерам из Индонезии, на что указывает использование индонезийского языка в скриптах и именах пользователей.

Мошенники разработали образы, предназначенные для выполнения майнеров криптовалют, загруженных из управляемых хакерами репозиториев на GitHub. Особенностью является злоупотребление CodeCommit для создания частных репозиториев Git, которые затем используются в различных сервисах как источник.

Оценки Sysdig говорят о том, что потери от AMBERSQUID могут составить более $10 000 в день, если кампания будет масштабирована для атаки на все регионы использования AWS. Дополнительный анализ криптокошельков показал, что злоумышленники уже заработали более $18 300.

Это далеко не первый случай, когда индонезийские хакеры связаны с криптоджекинговыми кампаниями. В мае этого года специалисты Permiso подробно рассмотрели активность группировки под псевдонимом GUI-vil, который использовал сервис AWS Elastic Compute Cloud (EC2) для майнинга криптовалют.

Майкл Кларк, директор исследований угроз в Sysdig, заявил, что, вероятно, речь идёт о разных группах злоумышленников. Однако он подчеркнул, что подобные инциденты доказывают, что в Индонезии существует процветающее сообщество вокруг криптоджекинга.

Завершая свой отчёт, эксперты подчеркнули важность не пренебрегать безопасностью при использовании различных облачных сервисов и инструментов. Сервисы, такие как AWS Amplify, AWS Fargate и Amazon SageMaker, также могут быть уязвимыми, хотя и не так явно, как более популярные сервисы типа EC2.