A equipa de segurança GuardDuty da Amazon detetou uma campanha de criptomineração em curso, que tem como alvo os serviços Elastic Compute Cloud (EC2) e Elastic Container Service (ECS). De acordo com os detalhes partilhados, os atacantes não exploraram falhas técnicas nos sistemas, mas sim credenciais legítimas e comprometidas do Identity and Access Management (IAM) para obter acesso às contas das vítimas.
A operação teve início a 2 de novembro e destaca-se pela rapidez com que os criminosos agem. Em apenas dez minutos após o acesso inicial, e depois de um breve reconhecimento das permissões e quotas da conta, o processo de mineração de criptomoeda era ativado. Este tipo de ataque gera lucros diretos para os piratas informáticos, enquanto os clientes da Amazon ficam com a fatura do consumo excessivo de recursos computacionais.
Funcionamento da operação de criptomineração
Para colocar o plano em prática, os atacantes utilizaram uma imagem alojada no Docker Hub, denominada yenik65958/secret, criada no final de outubro. Esta imagem continha o minerador SBRMiner-MULTI e um script configurado para iniciar o processo de forma automática assim que o contentor fosse lançado. Surpreendentemente, esta imagem já contava com mais de 100 mil transferências na plataforma antes de ser removida.
No serviço EC2, a estratégia passou pela criação de modelos de lançamento com scripts de arranque automático. Foram configurados 14 grupos de auto-scaling, preparados para mobilizar pelo menos 20 instâncias cada, com um limite máximo de até 999 máquinas. Cada tarefa era desenhada para consumir recursos significativos, incluindo 32 GB de memória, garantindo assim uma capacidade de extração massiva.
Técnica de persistência inovadora dificulta a resposta
Conforme detalhado no boletim de segurança oficial da AWS, um dos aspetos mais astutos desta campanha foi o mecanismo de persistência utilizado. Os atacantes ativaram a função ModifyInstanceAttribute em todas as máquinas lançadas, o que desativou a capacidade de as terminar via API. Esta proteção contra o encerramento acidental foi usada como arma para atrasar a intervenção das equipas de resposta a incidentes.
Ao impedir que os administradores desligassem as máquinas remotamente de forma imediata, os criminosos conseguiram maximizar o tempo de mineração e, consequentemente, os seus lucros. As equipas de segurança viram-se obrigadas a desativar manualmente esta proteção antes de conseguirem interromper a atividade maliciosa. Embora a imagem original tenha sido eliminada, o alerta mantém-se, uma vez que o atacante poderá lançar ficheiros semelhantes sob novas identidades. Recomenda-se que todos os utilizadores verifiquem a segurança das suas credenciais e procedam à rotação das mesmas caso existam suspeitas de acesso indevido.
Nenhum comentário
Seja o primeiro!