cryptojacking pe platforma AWS a devenit vizibil în urma unei campanii raportate începând cu 2 noiembrie 2023. Atacatorii nu exploatează vulnerabilități software, ci folosesc credențiale IAM compromise cu drepturi de tip administrator pentru a lansa miner de criptomonede în conturile vizate. Încă din primele minute, resursele EC2 și ECS sunt consumate, iar factura se majorează în mod semnificativ pentru victimă.
Detalii tehnice ale campaniei de cryptojacking pe AWS
Utilizatorii IAM cu acces administrativ sunt verificaţi prin API‑ul RunInstances în modul DryRun, pentru a confirma drepturile fără a porni instantaneu instanțe reale. Această etapă permite atacatorului să se asigure că poate crea în mod legal atât mașini virtuale EC2, cât și clustere ECS. După confirmarea permisiunilor, se descarcă și se rulează minerul SBRMiner‑MULTI pe ambele medii, exploatând capacitatea de calcul și eventual GPU‑urile disponibile.
În multe cazuri, minerul este pornit la doar câteva minute după compromiterea credențialelor IAM, ceea ce indică un lanț de atac complet automatizat. Pentru operatorii AWS, această rapiditate reduce fereastra de reacție și face esențială monitorizarea în timp real a consumului de resurse. Facturi neobișnuit de mari apar adesea în urma creării masive de instanțe EC2 și a rulării continue a containerelor ECS.
Metode de persistență și escaladare în mediul AWS
Atacatorii activează opţiunea disable API termination prin apelul ModifyInstanceAttribute, împiedicând terminarea instantaneelor prin API standard. Această barieră suplimentară poate amâna ștergerea resurselor compromise cu câteva minute critice, permițând minerilor să funcţioneze în continuare. În plus, se creează zeci de clustere ECS – uneori peste 50 – pentru a distribui sarcina de minare și a complica investigarea.
Pe EC2, grupurile de auto‑scaling sunt configurate pentru a menţine un număr constant de instanţe, asigurând că minerul se reporneşte automat chiar dacă operatorii încearcă să îl oprească manual. Utilizarea auto‑scaling transformă mecanismul de elasticitate al AWS într-un multiplier al costurilor generate de cryptomining. Un alt vector de persistență constă în crearea unei funcţii AWS Lambda expuse public prin Lambda Function URL fără autentificare, oferind atacatorului un punct de acces permanent.
Recomandări pentru protejarea conturilor AWS împotriva cryptomining
- Activează autentificarea multi‑factor (MFA) pentru toate conturile IAM, reducând riscul de utilizare a credenţialelor furate.
- Înlocuiește cheile de acces permanente cu credențiale temporare (STS) şi restrânge numărul de utilizatori cu privilegii administrativ.
- Aplică principiul „least privilege” la rolurile IAM, interzicând crearea și lansarea de instanţe EC2 sau clustere ECS pentru conturile neesențiale.
- Configurează alerte pentru costuri neobișnuite, crearea rapidă de resurse și modificări de atribute precum disable API termination.
- Monitorizează și inventoryează funcţiile Lambda publice; dezactivează URL‑urile fără autentificare și revizuiește regulile de securitate asociate.
Implementarea acestor măsuri permite detectarea timpurie a activităţilor suspecte și limitarea pagubelor financiare provocate de cryptojacking în mediul AWS. Informaţiile actuale evidențiază că, odată cu accesul legitim obținut, atacatorii pot transforma rapid infrastructura cloud într-o mină de criptomonede, subliniind importanța monitorizării continue și a actualizării politicilor de securitate.
