Хакеры нашли новый способ злоупотребления учетными записями облачных вычислений, создавая виртуальные машины для подключения к сетям доставки контента на основе блокчейна. Это позволяет им потенциально обходить ограничения, установленные администраторами для предотвращения майнинга криптовалюты, поскольку основное внимание уделяется не циклам процессора и оперативной памяти, а скорее дисковому пространству и пропускной способности.
Исследователи из охранной компании Sysdig недавно расследовали кампанию атаки, в результате которой было создано 6000 микроэкземпляров из скомпрометированной учетной записи AWS в разных регионах, а также развернут клиент для службы доставки контента на основе блокчейна и рынка пропускной способности под названием Meson Network.
Эта услуга позволяет пользователям предоставлять свое дополнительное пространство для хранения и пропускную способность другим проектам через децентрализованную сеть узлов в обмен на криптотокены под названием MSN. Это эквивалент майнинга Meson в других криптовалютных проектах, где пользователи получают вознаграждение в токенах за использование своих вычислительных ресурсов для выполнения «работы» для сети, например проверки транзакций.
Проблема с этим изменением в методах монетизации заключается в том, что существующие методы обнаружения скачков ЦП и ограничения, налагаемые на количество и тип экземпляров, которые может создавать учетная запись, могут не применяться к этой атаке. Например, учетная запись, которую Sysdig заметил в своей сети-приманке, имела ограничение на создание только микроэкземпляров. Это экземпляры AWS с очень ограниченным процессором и оперативной памятью, которые не были бы очень полезны для традиционного криптомайнера, но в данном случае это не обескуражило хакеров, которые породили около 6000 из них. Это обойдется владельцу учетной записи примерно в 2000 долларов в день и даже больше, если учесть стоимость общедоступных IP-адресов, назначенных этим экземплярам.
Злоумышленники скомпрометировали серверы-приманки Sysdig через известную уязвимость в PHP-фреймворке Laravel (CVE-2021-3129), а также из-за неправильной конфигурации WordPress. Это показывает, что эти злоумышленники используют несколько методов для получения первоначального доступа к серверам своих жертв.
Затем они использовали методы разведки для определения своей среды и злоупотребили привилегиями скомпрометированных учетных данных AWS, чтобы создать пакеты по 500 экземпляров в нескольких областях AWS, используя общедоступный образ виртуальной машины для Ubuntu 22.04. Они сделали это, используя команду RunInstances с полем пользовательских данных, которое содержало дополнительные команды для загрузки и выполнения двоичного файла meson_cdn при запуске.
Исследователи смогли увидеть файловый обмен между двоичным файлом и CDN, а случайные изображения и сообщения, полученные из сети, начали сохраняться в папке m_cache. «Вопреки нашим ожиданиям, приложение Meson использовало относительно низкий процент памяти и процессорного времени по сравнению с традиционными инцидентами криптоджекинга», — заявили исследователи. Пики трафика, использования хранилища и исходящих подключений являются ключом к обнаружению.
Исследователи советуют организациям добавить средства обнаружения этого нового типа атак. Например, пики трафика и использования хранилища могут быть тревожными сигналами, а также большое количество исходящих подключений. В журналах Cloudtrail также можно отслеживать события RunInstances, и можно создавать правила для отслеживания выполнения команд в списке областей AWS, которые обычно не должны использоваться учетной записью. Meson Network — законный сервис, но злоумышленники всегда ищут новые способы монетизации взломанных серверов. В прошлом году исследователи из Akamai сообщили о аналогичной атаке, которую они назвали проксиджекингом, когда хакеры добавили скомпрометированные серверы в коммерческие прокси-сети Peer2Profit и Honeygain, которые предлагают пользователям деньги в обмен на пропускную способность.