Ladro online ruba account Amazon per estrarre Litecoin nel cloud

Perché preoccuparsi di installare malware che mina la CPU su migliaia di macchine, quando puoi semplicemente entrare nell'account di cloud computing Amazon di qualcuno e creare un data center ben gestito?

Questa settimana, uno sviluppatore di software ha scoperto che qualcuno avevafatto proprio questoe se ne è andato con un mucchio di litecoin a sue spese.

Il programmatore di Melbourne Luke Chadwick ha ricevuto un brutto colpo dopo aver ricevuto un'e-mail da Amazon. L'azienda gli ha detto che la sua Amazon Key (una credenziale di sicurezza utilizzata per accedere ai servizi Web di Amazon) era stata trovata su ONE dei suoi Repository Github.

Repository Github

Github è un sistema di controllo delle versioni online utilizzato per lo sviluppo software collaborativo. Funziona tramite un repository centrale che contiene il codice sorgente per un progetto software.

Il codice sorgente raggiunge il sito quando l'autore 'spinge' la directory che lo contiene su Github, replicando il tutto tramite la creazione di un repository.

Quando l'autore decide di rendere pubblico il repository, altri sviluppatori software possono "forkarlo", producendo una copia del repository per il proprio uso, che viene poi "clonata", ovvero copiata sui loro computer locali.

[post-citazione]

Una volta apportato il proprio contributo al progetto, modificando o aggiungendo nuovo codice sorgente, possono sincronizzare il loro codice con il repository forkato e poi chiedere all'autore originale di "riportare" i loro contributi nel repository originale.

Purtroppo, alcuni sviluppatori di software archiviano inconsapevolmente in tali directory le "chiavi" digitali utilizzate per accedere ai servizi online.

Finché il repository Github è privato, ONE altro può vederlo. Ma non appena lo rendono pubblico, la directory diventa ricercabile e altri possono creare il repository, accedendo alle chiavi.

Questo è già successo su Githubcon un tipo di certificato digitale chiamato SSH (Secure Shell), che può garantire agli aggressori l'accesso al computer di uno sviluppatore di software. Ed è successo anche a Chadwick. Ha detto:

"Il problema era lo stesso (incorporato nei repository GitHub), ma era diverso per le chiavi SSH, che potevano essere utilizzate solo per connettersi a un'istanza esistente."

"Queste chiavi erano per l'API di Amazon e potevano essere utilizzate per creare nuove macchine". Ecco cosa ha fatto l'aggressore.

1.427 ore di istanza

Dopo aver ricevuto la notizia del ritrovamento della chiave nel suo repository, Chadwick ha effettuato l'accesso e ha trovato una fattura di $ 3.420. L'utente non autorizzato aveva creato 20 macchine virtuali Amazon. In totale, avevano utilizzato 1.427 "ore di istanza", il che significa che probabilmente ci avevano lavorato per poco meno di tre giorni.

Chadwick voleva salvare le istanze delle macchine virtuali per scopi forensi, ma T poteva permettersi di lasciarle in esecuzione mentre giocava per il supporto di Amazon, quindi le ha eliminate.

Tuttavia, poco prima di farlo, ha collegato il volume di archiviazione da ONE alla sua istanza di macchina virtuale. Ha scoperto che l'utente non autorizzato stava estraendo litecoin con i cicli di CPU rubati.

In termini di prestazioni di elaborazione, l'attaccante ha fatto un uso efficace dell'account rubato, creando una macchina virtuale nella classe "ottimizzata per l'elaborazione". L'istanza cc2.8xlarge che hanno scelto ha un processore a 64 BIT con 32 CPU virtuali e 88 Unità di calcolo EC2’.

Scrypt compatibile con la CPU

Litecoin utilizza un meccanismo di proof of work chiamato scrypt, progettato per essere compatibile con la CPU e resistente a GPU e ASIC. Ciò rende un'istanza EC2 ad alte prestazioni perfetta per il lavoro, perché la potenza grezza della CPU è ciò in cui è brava.

Altri che hanno impostato istanze di mining scrypt legittime su EC2 (sebbene estraggano YaCoin non Litecoin , e in un diverso tipo di scrypt) affermano di aver visto 750 Khash/sec <a href="http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/">http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/</a> in termini di prestazioni per istanza. Le 20 macchine dell'attaccante avrebbero quindi estratto a circa 15 Mhash/sec quando venivano eseguite insieme.

Analizzando il volume che aveva montato sulla sua macchina virtuale, Chadwick ha scoperto che l'aggressore aveva utilizzato il pool di mining Litecoin piscina-x.euper le monete. A1,156 GH/sec, questo pool rappresenta circa l'1,1% dell'intero hash rate Litecoin , il che suggerisce che durante l'attività di mining, l'attaccante potrebbe aver rappresentato circa l'1% dell'hash rate complessivo del pool.

Fuori dalla piscina

L'amministratore del pool, che ha scritto da una vacanza in Thailandia, ha preferito non rivelare il suo nome, ma usa il nickname 'g2x3k'. Si è scusato per non aver risposto all'email di Chadwick. Pensa che il furto di cicli di CPU accada spesso nel settore del mining Litecoin .

"Di solito chiudo gli account su Request", ha detto, aggiungendo che in passato ha bannato indirizzi IP su Request . "Anche se li escludo, possono comunque creare un pool o un'attività di mining in solitaria con quelle risorse.

"Ho una lista di IP di Amazon già bannati, poiché è stato utilizzato all'inizio di Litecoin per estrarre più di quanto pensassi fosse una quota equa", ha continuato.

Speriamo per il bene dell'attaccante che abbia venduto prima (o per il bene della giustizia, che non l'abbia T). Chadwick ha scoperto i casi e li ha chiusi lunedì 16 dicembre, che era lo stesso giorno in cui il prezzo del Litecoin ha iniziato a crollare.

Se il ladro di nuvole T avesse venduto le sue monete man mano che procedeva, avrebbe potuto perdere un profitto considerevole.

Chadwick T crede che sarebbe molto facile rintracciare l'aggressore. "Sebbene sia sicuro che Amazon abbia alcuni record (così come il pool), mi aspetterei che la persona utilizzi Tor", ha detto.

Nel frattempo, Amazon è intervenuta e ha rimborsato a Chadwick i suoi soldi.

Lucchettoimmagine tramite Shutterstock