.
À medida que a computação nativa em nuvem continua a ganhar popularidade, também aumenta o risco representado por criminosos que procuram explorar os incautos. Um método recém-descoberto tem como alvo serviços na plataforma AWS, mas não necessariamente aqueles que você imagina.
Pesquisadores da equipe de pesquisa de ameaças Sysdig (TRT) descobriram uma operação de cryptojacking chamada “AMBERSQUID”, que não visa diretamente instâncias EC2 que desencadeariam uma aprovação para mais recursos.
Em vez disso, de acordo com os pesquisadores, destina-se a serviços frequentemente esquecidos, como AWS Amplify, AWS Fargate e AWS Sagemaker.
Os pesquisadores disseram: “A natureza incomum desses serviços significa que eles são frequentemente negligenciados do ponto de vista da segurança, e a operação AMBERSQUID pode custar às vítimas mais de US$ 10.000 por dia”.
O AMBERSQUID foi descoberto depois que mais de 1,7 milhão de imagens do Linux foram analisadas. Uma varredura estática típica não mostrou nenhum problema, pois somente quando o contêiner foi executado é que as atividades nefastas se tornaram conhecidas.
O contêiner original que desencadeou a investigação foi encontrado no Docker Hub, e muitas contas começaram com pouco mais do que uma imagem básica de contêiner executando um criptominerador. Os pesquisadores observaram: “No entanto, eles eventualmente mudaram para serviços específicos da AWS”.
O ataque compreende uma sucessão de scripts para iniciar serviços como Amplify, CodeBuild, Sagemaker e ECS com o objetivo de usar os recursos computacionais oferecidos para minerar criptomoedas.
Os custos podem ser exorbitantes, dependendo da quantidade de recursos que os invasores podem utilizar. Os pesquisadores disseram: “Pela primeira vez, descobrimos invasores abusando do AWS Amplify para criptojacking”.
AWS Amplify é uma plataforma de desenvolvimento que permite aos desenvolvedores criar e implantar aplicativos web e móveis escaláveis. Uma vez que abre uma estrutura para permitir que um aplicativo se integre a outros serviços na plataforma AWS, também fornece um caminho útil para os invasores acessarem os recursos de computação necessários para a criptomineração.
Os investigadores suspeitam, embora não possam confirmar, que a operação se origina de atacantes indonésios devido ao uso da língua indonésia em scripts e nomes de utilizador.
O encadeamento de serviços incomuns no ataque é novo. Embora o EC2 seja um alvo bem conhecido, os investigadores instaram as equipas de segurança a lembrarem-se de que outros serviços também fornecem acesso – mesmo que indirecto – a recursos computacionais, o que significa que a detecção de ameaças precisa de ser tão ampla quanto possível.
Se a detecção de ameaças não for possível, um nível mais alto de registro será obrigatório.
Também é essencial considerar que, embora a AWS e os serviços capturados por invasores por meio do uso de uma imagem de contêiner maliciosa tenham sido objeto deste relatório, os usuários de outras plataformas precisam manter o controle sobre eles.
Como observou a equipe: “Embora esta operação tenha ocorrido na AWS, outros CSPs [Cloud Service Providers] poderia facilmente ser o próximo alvo.” ®
.
