Ladrão online rouba conta da Amazon para minerar Litecoins na nuvem

Por que se preocupar em instalar malware de mineração de CPU em milhares de máquinas, quando você pode simplesmente invadir a conta de computação em nuvem da Amazon de alguém e criar um data center bem gerenciado?

Esta semana, um desenvolvedor de software descobriu que alguém tinhafiz exatamente isso, e fugiu com uma pilha de litecoins às suas custas.

O programador Luke Chadwick, de Melbourne, levou um choque desagradável após receber um e-mail da Amazon. A empresa disse a ele que sua Amazon Key (uma credencial de segurança usada para fazer login nos serviços da Amazon Web) havia sido encontrada em um de seus Repositórios do Github.

Repositórios do Github

Github é um sistema de controle de versão online usado para desenvolvimento colaborativo de software. Ele funciona usando um repositório central que mantém o código-fonte de um projeto de software.

O código-fonte chega ao site quando o autor "envia" o diretório que o contém para o Github, replicando tudo ao criar um repositório lá.

Quando o autor decide tornar esse repositório público, outros desenvolvedores de software podem "bifurcá-lo", produzindo uma cópia do repositório para seu próprio uso, que é então "clonada" ou copiada para seus computadores locais.

[post-citação]

Depois de fazerem suas próprias contribuições ao projeto, seja alterando ou adicionando novo código-fonte, eles podem sincronizar seu código com o repositório bifurcado e, então, pedir ao autor original para "puxar" suas contribuições de volta para o repositório original.

Infelizmente, alguns desenvolvedores de software armazenam involuntariamente "chaves" digitais usadas para acessar serviços online nesses diretórios.

Enquanto o repositório do Github for privado, ONE mais poderá vê-los. Mas assim que o tornarem público, o diretório se tornará pesquisável, e outros poderão formar o repositório, acessando as chaves.

Esse já aconteceu no Github antescom um tipo de certificado digital chamado SSH (Secure Shell), que pode conceder aos invasores acesso ao próprio computador de um desenvolvedor de software. E isso também aconteceu com Chadwick. Ele disse:

“O problema era o mesmo (incorporado em repositórios do GitHub), mas isso é diferente das chaves SSH, que só podiam ser usadas para conectar a uma instância existente.”

“Essas chaves eram para a API da Amazon e poderiam ser usadas para criar novas máquinas.” Foi o que o invasor fez.

1.427 horas de instância

Após receber a notícia de que a chave foi encontrada em seu repositório, Chadwick fez login e encontrou uma conta de $ 3.420. O usuário não autorizado havia criado 20 máquinas virtuais da Amazon. No total, eles usaram 1.427 'horas de instância', o que significa que provavelmente estavam nisso há pouco menos de três dias.

Chadwick queria salvar as instâncias da máquina virtual para fins forenses, mas T podia deixá-las em execução enquanto conversava com o suporte da Amazon, então ele as eliminou.

No entanto, pouco antes de fazer isso, ele anexou o volume de armazenamento de um para sua própria instância de máquina virtual. Ele descobriu que o usuário não autorizado estava minerando litecoins com os ciclos de CPU roubados.

Em termos de desempenho de computação, o invasor fez uso efetivo da conta roubada, criando uma máquina virtual na classe 'compute-optimized'. A instância cc2.8xlarge que eles escolheram tem um processador de 64 BIT com 32 CPUs virtuais e 88 Unidades de computação EC2'.

Scrypt amigável à CPU

O Litecoin usa um mecanismo de prova de trabalho chamado scrypt, que é projetado para ser amigável à CPU e resistente a GPUs e ASICs. Isso torna uma instância EC2 de alto desempenho perfeita para o trabalho, porque o poder bruto da CPU é o que ela faz bem.

Outros que configuraram instâncias legítimas de mineração scrypt no EC2 (embora minerando YaCoin, não Litecoin – e em um tipo diferente de scrypt) afirmam ter visto 750 Khashes/seg <a href="http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/">http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/</a> em desempenho por instância. As 20 máquinas do invasor, portanto, estariam minerando em torno de 15 Mhashes/seg quando executadas juntas.

Analisando o volume que ele montou em sua própria máquina virtual, Chadwick descobriu que o invasor havia usado o pool de mineração de Litecoin piscina-x.eupara as moedas. Em1,156 GH/seg, esse pool representa cerca de 1,1% de toda a taxa de hash do Litecoin , sugerindo que, durante a mineração, o invasor pode ter sido responsável por cerca de 1% da taxa de hash geral do pool.

Fora da piscina

O administrador do pool, enviando e-mails de férias na Tailândia, preferiu não dar seu nome, mas atende pelo identificador 'g2x3k'. Ele se desculpou por não ter lido o e-mail de Chadwick. Ele acha que o roubo de ciclo de CPU acontece muito no espaço de mineração de Litecoin .

“Normalmente eu fecho contas mediante Request”, ele disse, acrescentando que já baniu endereços IP mediante Request antes. “Mesmo se eu os fechar, eles ainda podem configurar [um] pool ou minerar solo com esses recursos.

“Tenho uma lista de IPs da Amazon já banidos, pois eles foram usados ​​no início do Litecoin para minerar mais do que eu pensava ser uma parcela justa”, ele continuou.

Vamos esperar, pelo bem do atacante, que eles tenham vendido cedo (ou, por uma questão de justiça, que não o tenham T). Chadwick descobriu as instâncias e as fechou na segunda-feira, 16 de dezembro, que foi o mesmo dia em que o preço do Litecoin começou a cair.

Se o ladrão de nuvens T estivesse vendendo suas moedas, ele poderia ter perdido um lucro considerável.

Chadwick T acredita que seria muito fácil rastrear o invasor. “Embora eu tenha certeza de que a Amazon tem alguns registros (assim como o pool), eu esperaria que a pessoa estivesse usando o Tor”, ele disse.

Enquanto isso, a Amazon se manifestou e devolveu o dinheiro a Chadwick.

Cadeadoimagem via Shutterstock