Un nou val de „cryptojacking” lovește utilizatorii de AWS printr-o metodă simplă și, tocmai de aceea, eficientă: atacatorii nu sparg o vulnerabilitate, ci intră cu date de acces furate. Odată ce pun mâna pe credențiale valide de AWS Identity and Access Management (IAM), cu privilegii de tip administrator, încep să consume resurse de cloud pentru a mina criptomonede în numele lor, lăsând factura la victimă.
Operațiunea, observată în mai multe conturi de clienți, ar fi început pe 2 noiembrie și vizează în special serviciile de calcul și orchestrare: Elastic Compute Cloud (EC2) și Elastic Container Service (ECS). În unele cazuri, minerii sunt porniți la doar câteva minute după compromiterea inițială, ceea ce arată cât de automatizat este tot lanțul de atac. Pentru multe organizații, asta înseamnă că fereastra de reacție e extrem de mică: dacă nu ai alerte și controale bine puse la punct, poți descoperi problema abia când vezi o explozie în costuri.
Spre deosebire de scenariile clasice în care un atacator exploatează o breșă software, aici „cheia” este accesul legitim. Atacatorii folosesc credențiale IAM compromise, descrise ca având privilegii „de tip admin”. Cu astfel de drepturi, ei pot lansa instanțe, pot crea clustere, pot modifica setări și pot implementa rapid componente necesare minării, fără să fie opriți de permisiuni.
Un element important al tacticii este faza de verificare, făcută într-un mod care reduce riscul de a fi observați prea devreme. După ce intră în cont, atacatorii verifică limitele de servicii pentru EC2 (service quotas), ca să vadă câte instanțe pot porni. Apoi își testează permisiunile folosind apeluri către API-ul RunInstances cu opțiunea DryRun activată. Practic, își confirmă dacă au voie să lanseze resurse fără să pornească încă instanțe reale și fără să genereze imediat costuri care ar putea declanșa suspiciuni.
Abia după ce sunt siguri că accesul le permite să ruleze operațiunea, trec la implementarea minerului. În acest caz a fost observat un software de minare numit SBRMiner-MULTI, instalat atât în ECS, cât și pe instanțe EC2. Folosirea ambelor servicii are sens: ECS oferă flexibilitate și o gestionare ușoară a containerelor, iar EC2 permite scalare și consum masiv de resurse atunci când ai permisiuni și cote disponibile. Pentru victimă, efectul se vede în consum: creșteri bruște în utilizarea CPU/GPU, instanțe apărute „peste noapte”, clustere noi și facturi mult peste normal.
Tehnicile folosite pentru persistență și escaladare
Atacatorii nu se mulțumesc să pornească rapid un miner și să spere că nu îi oprește nimeni. Din informațiile disponibile, campania include tehnici de persistență gândite să îngreuneze remedierea și să prelungească perioada de minare „gratuită”.
Un exemplu este folosirea setării disable API termination pentru instanțe, printr-un apel de tip ModifyInstanceAttribute. Când această opțiune e activată, instanțele nu pot fi terminate prin API în mod obișnuit. Asta nu înseamnă că instanțele devin imposibil de șters, dar înseamnă că echipa care investighează trebuie să facă un pas în plus: să reactiveze posibilitatea de terminare înainte să poată elimina resursele compromise. Într-un incident real, fiecare minut contează, iar un pas suplimentar poate fi suficient ca atacatorul să mai ruleze minerii încă ore sau zile, mai ales dacă organizația are procese birocratice, aprobări sau echipe diferite care se coordonează greu.
În plus, atacatorii creează „zeci” de clustere ECS, uneori peste 50 într-un singur atac, ceea ce are două avantaje: crește capacitatea de minare și complică investigația. Cu cât ai mai multe resurse împrăștiate, cu atât e mai ușor să scape ceva din vedere, mai ales dacă mediul este deja complex și folosit de mai multe proiecte.
Pe EC2, atacatorii folosesc și auto scaling groups pentru a maximiza utilizarea cotelor și consumul de resurse. Auto scaling, gândit pentru reziliență și elasticitate, devine astfel un multiplicator al pagubei: dacă este configurat să mențină un anumit număr de instanțe, va continua să le repornească sau să le înlocuiască, ceea ce poate menține minarea activă chiar și după ce oprești manual câteva instanțe.
Un alt element de persistență raportat este crearea unei funcții AWS Lambda expuse printr-un Lambda Function URL public, fără autentificare. În termeni simpli, asta poate deveni o „ușă” prin care atacatorul își păstrează accesul la mediu, chiar dacă îi tai alte puncte de intrare. O astfel de componentă e periculoasă tocmai pentru că poate trece neobservată dacă nu ai inventar și monitorizare strictă pentru funcțiile Lambda și pentru endpoint-urile expuse public.
Cum îți protejezi contul AWS de cryptomining
Într-un atac bazat pe credențiale furate, apărarea începe cu identitatea. Dacă ai utilizatori IAM cu drepturi largi și chei de acces pe termen lung, riști ca o singură scurgere să deschidă tot mediul. Reduci semnificativ suprafața de atac dacă folosești credențiale temporare acolo unde se poate, în loc de access keys persistente, și dacă limitezi drastic numărul de conturi cu privilegii „admin-like”.
Autentificarea multi-factor (MFA) pentru toți utilizatorii este un prag de bază. Dacă un atacator obține doar parola, MFA poate opri intrarea inițială în multe scenarii. La fel de important este principiul „least privilege”: dai fiecărui rol doar permisiunile strict necesare. Dacă un cont compromis nu poate lansa instanțe EC2 sau nu poate crea clustere ECS, atacul se blochează înainte să înceapă.
În zona de detectare, te ajută să ai alerte pentru comportamente atipice: creșteri bruște de cost, lansări neobișnuite de instanțe, crearea masivă de clustere ECS, apeluri repetitive către API-uri critice și modificări de atribute precum disable API termination. Mai ales într-un mediu enterprise, diferența dintre „am aflat după o săptămână” și „am aflat în 10 minute” poate însemna mii sau zeci de mii de euro în costuri de calcul.
Nu în ultimul rând, când apare un incident, verifici rapid două lucruri care pot încetini curățarea: instanțe cu protecție la terminare activată și resurse create pentru acces persistent, precum funcții Lambda expuse public fără autentificare. Dacă nu le cauți explicit, riști să oprești minerii „vizibili” și să lași în urmă mecanismul care îi repornește sau care permite atacatorului să revină.
Pe scurt, această campanie arată cât de repede poate fi monetizat un cont cloud compromis: în loc de furt de date sau ransomware, atacatorul îți transformă infrastructura în mină de criptomonede și îți consumă bugetul, uneori aproape imediat după acces. Într-o lume în care multe echipe automatizează tot, și infractorii automatizează la fel de agresiv—doar că o fac împotriva ta.