Интернет-вор крадет аккаунт Amazon, чтобы добывать Litecoin в облаке

Зачем устанавливать вредоносное ПО для майнинга ЦП на тысячи машин, если можно просто взломать чей-то аккаунт облачных вычислений Amazon и создать хорошо управляемый центр обработки данных?

На этой неделе разработчик программного обеспечения обнаружил, что кто-тосделал только это, и скрылся с кучей лайткоинов, прихватив с собой десять центов.

Программист из Мельбурна Люк Чедвик был неприятно удивлен, получив письмо от Amazon. Компания сообщила ему, что его Amazon Key (учетная запись безопасности, используемая для входа в веб-сервисы Amazon) была найдена на ONE из его Репозитории Github.

Репозитории Github

Github — это онлайн-система управления версиями, используемая для совместной разработки программного обеспечения. Она работает с использованием центрального репозитория, содержащего исходный код программного проекта.

Исходный код попадает на сайт, когда автор «отправляет» содержащий его каталог на Github, реплицируя все это путем создания там репозитория.

Когда автор решает сделать этот репозиторий общедоступным, другие разработчики программного обеспечения могут «разветвить» его, создав копию репозитория для собственного использования, которая затем «клонируется» или копируется на их локальные компьютеры.

[после цитаты]

После того, как они внесут свой вклад в проект, изменив или добавив новый исходный код, они могут синхронизировать свой код с ответвленным репозиторием, а затем попросить первоначального автора «забрать» их вклад обратно в исходный репозиторий.

К сожалению, некоторые разработчики программного обеспечения непреднамеренно хранят в этих каталогах цифровые «ключи», используемые для доступа к онлайн-сервисам.

Пока репозиторий Github является приватным, ONE другой не может их видеть. Но как только они делают его публичным, каталог становится доступным для поиска, и другие могут сформировать репозиторий, получая доступ к ключам.

Этот уже случалось на Githubс типом цифрового сертификата, называемого SSH (Secure Shell), который может предоставить злоумышленникам доступ к собственному компьютеру разработчика программного обеспечения. И это также произошло с Чедвиком. Он сказал:

«Проблема была той же (встроена в репозитории GitHub), но это отличается от ключей SSH, которые можно было использовать только для подключения к существующему экземпляру».

«Эти ключи были для API Amazon и могли использоваться для создания новых машин». Именно это и сделал злоумышленник.

1427 часов работы

Получив известие о том, что ключ был найден в его хранилище, Чедвик вошел в систему и обнаружил счет на сумму $3420. Неавторизованный пользователь создал 20 виртуальных машин Amazon. В общей сложности они израсходовали 1427 «часов экземпляра», что означает, что они, вероятно, работали над этим чуть меньше трех дней.

Чедвик хотел сохранить экземпляры виртуальных машин для криминалистических целей, но T мог позволить себе оставлять их работающими во время игры за поддержку Amazon, поэтому он их отключил.

Однако, как раз перед этим он подключил том хранилища из ONE к своему собственному экземпляру виртуальной машины. Он обнаружил, что неавторизованный пользователь добывал лайткоины с помощью украденных циклов ЦП.

С точки зрения вычислительной производительности, злоумышленник эффективно использовал украденный аккаунт, создав виртуальную машину в классе «вычислительно-оптимизированных». Экземпляр cc2.8xlarge, который они выбрали, имеет 64- BIT процессор с 32 виртуальными ЦП и 88 «Вычислительные блоки EC2»’.

Скрипт, дружественный к процессору

Litecoin использует механизм доказательства работы, называемый scrypt, который разработан для работы с CPU и устойчив к GPU и ASIC. Это делает высокопроизводительный экземпляр EC2 идеальным для работы, потому что чистая мощность CPU — это то, в чем он хорош.

Другие, кто настроил легитимные экземпляры scrypt mining на EC2 (хотя и майнинг YaCoin, а не Litecoin – и в другом типе scrypt) утверждают, что видели 750 хашей/сек <a href="http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/">http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/</a> в производительности на экземпляр. Таким образом, 20 машин злоумышленника, работая вместе, майнили бы около 15 Mhashes/сек.

Проанализировав том, смонтированный на его собственной виртуальной машине, Чедвик обнаружил, что злоумышленник использовал пул майнинга Litecoin pool-x.euдля монет. В1.156GH/секэтот пул представляет около 1,1% от общего хешрейта Litecoin , что позволяет предположить, что во время майнинга на долю злоумышленника могло приходиться около 1% от общего хешрейта пула.

Из бассейна

Администратор пула, отправляющий письма из отпуска в Таиланде, предпочел не называть своего имени, но использует псевдоним 'g2x3k'. Он извинился за то, что не ответил на письмо Чедвика. Он считает, что кража циклов ЦП часто случается в сфере майнинга Litecoin .

«Обычно я закрываю аккаунты по Request», — сказал он, добавив, что раньше он уже блокировал IP-адреса по Request . «Даже если я их заблокирую, они все равно смогут создать пул или заниматься соло-майнингом с этими ресурсами.

«У меня есть список IP-адресов Amazon, которые уже заблокированы, поскольку они использовались в начале существования Litecoin для майнинга большего объема, чем я считал справедливым», — продолжил он.

Будем надеяться, ради нападавших, что они продали раньше (или ради справедливости, что они T сделали). Чедвик узнал об этих экземплярах и закрыл их в понедельник 16 декабря, что было в тот же день, когда цена Litecoin начала падать.

Если бы облачный вор T продавал свои монеты по мере поступления, он мог бы потерять значительную прибыль.

Чедвик T считает, что будет очень легко отследить злоумышленника. «Хотя я уверен, что у Amazon есть некоторые записи (как и у пула), я бы ожидал, что этот человек использует Tor», — сказал он.

Тем временем Amazon отреагировал и вернул Чедвику деньги.

Навесной замок изображение через Shutterstock