Віртуальна машина AWS заражена зловмисним програмним забезпеченням для майнінгу. Можуть бути й інші

Фірма з кібербезпеки знайшла сценарій майнінгу Monero, вбудований у публічний екземпляр віртуальної машини Amazon Web Service (AWS). Тепер компанія ставить запитання: скільки інших спільнотних екземплярів Amazon Machine Instance (AMI) заражено тим самим шкідливим програмним забезпеченням?

Дослідники в Мітіга У дописі в блозі в п’ятницю було виявлено, що AWS AMI для віртуального сервера Windows 2008, розміщеного неперевіреним постачальником, заражено сценарієм майнінгу Monero . Зловмисне програмне забезпечення могло б заразити будь-який пристрій, на якому працює AMI, з метою використання обчислювальної потужності пристрою для видобутку монети Політика конфіденційності. Monero на тлі – атака зловмисного програмного забезпечення, яка стала надто поширеною на цифровому дикому заході криптовалюти.

"Команда дослідження безпеки Mitiga виявила AMI спільноти AWS, який містить зловмисний код, який запускає неідентифікований майнер Крипто (Monero). У нас є занепокоєння, що це може бути феномен, а не одиничний випадок", - йдеться в дописі в блозі.

Monero зустрічає AMI

Підприємства та інші організації використовують веб-сервіси Amazon для створення так званих «EC2» екземплярів популярних програм і служб. Ці EC2, також відомі як віртуальні машини, розроблені третіми сторонами та розгорнуті в рамках Екземпляр машини Amazon і компанії використовують ці послуги, щоб знизити витрати на обчислювальну потужність для своїх бізнес-операцій. Користувачі AWS можуть отримати ці послуги від Amazon Marketplace AMI, які є перевіреними Amazon постачальниками, або Community AMI, які не перевірені.

Читайте також: BlackBerry та Intel борються зі зловмисним програмним забезпеченням Cryptojacking за допомогою нового інструменту виявлення

Мітіга виявив цей скрипт Monero в спільноті AMI для Windows 2008 Server під час проведення аудиту безпеки для компанії, що надає фінансові послуги. У своєму аналізі Mititga дійшов висновку, що AMI було створено з єдиною метою зараження пристроїв шкідливим програмним забезпеченням для майнінгу, оскільки сценарій був включений у код AMI з ONE дня.

Окрім фінансової компанії, яка найняла Mitiga для перевірки AMI, фірма з кібербезпеки не знає, скільки інших об’єктів і пристроїв може бути заражено шкідливим програмним забезпеченням.

«Щодо того, як Amazon дозволяє цьому статися, ну, це найбільше питання, яке виникає в результаті цього Цікаве, але це питання також слід направити команді AWS (sic) Comms», — повідомила команда CoinDesk електронною поштою.

CoinDesk звернувся до Amazon Web Services, щоб Навчання більше про їхній підхід до роботи з неперевіреними видавцями AMI, але представник відмовився від коментарів. Веб-служби Amazon документація включає застереження, що користувачі вирішують використовувати AMI спільноти «на [власний] ризик» і що Amazon «T може ручатися за цілісність або безпеку [цих] AMI».

Разова подія чи ONE з багатьох?

Основне занепокоєння Mitiga полягає в тому, що це зловмисне програмне забезпечення може бути ONE з кількох помилок, які часто зустрічаються в неперевірених AMI. Той факт, що Amazon не надає прозорих даних щодо використання AWS, посилює це занепокоєння, заявили в компанії CoinDesk.

"Оскільки використання клієнтами AWS приховане, ми T можемо знати, наскільки далеко й широко поширюється це явище, не провівши власне розслідування AWS. Однак ми вважаємо, що потенційний ризик достатньо високий, щоб видавати попередження щодо безпеки всім клієнтам AWS, які використовують Community AMI".

Читайте також: Північна Корея розширює майнінгові операції Monero , йдеться у звіті

Mitiga рекомендує, щоб будь-яка організація, яка керує спільнотою AMI, негайно припинила його роботу та шукала заміну від надійного постачальника. Принаймні компанії, які покладаються на AWS, повинні ретельно перевірити код, перш ніж інтегрувати неперевірені AMI у свою бізнес-логіку.

Майнінг шкідливих програм насправді може бути найнешкідливішою формою зараження, з якою може зіткнутися бізнес, продовжила компанія в дописі. У найгіршому випадку AMI встановлює бекдор на комп’ютер компанії або програмне забезпечення-вимагач, яке шифруватиме файли компанії з метою вимагання грошей за відновлення доступу.

Ця атака є останньою в тенденції так званих атак «крипто-джекінг». Monero є монетою, яку вибирають зловмисники завдяки своєму алгоритму майнінгу, який можна легко запустити за допомогою ЦП і ГП комп’ютера. Коли зловмисники заражають достатню кількість комп’ютерів і об’єднують їхні ресурси, загальної хеш-потужності достатньо, щоб заслужити гарну зарплату.

Якщо побоювання Mitiga правдиві, інші AMI могли заразити пристрої користувача сценаріями майнінгу Monero та залишитися непоміченими.