Un ladrón online roba una cuenta de Amazon para minar Litecoins en la nube

¿Por qué molestarse en instalar malware de minería de CPU en miles de máquinas, cuando en su lugar puede ingresar a la cuenta de computación en la nube de Amazon de alguien y crear un centro de datos bien administrado?

Esta semana, un desarrollador de software descubrió que alguien había...hice justamente esoy se fue con un montón de litecoins en su moneda de diez centavos.

El programador Luke Chadwick, que vive en Melbourne, se llevó una desagradable sorpresa al recibir un correo electrónico de Amazon. La empresa le informó que su clave de Amazon (una credencial de seguridad utilizada para iniciar sesión en los servicios web de Amazon) había sido encontrada en ONE de sus Repositorios de Github.

Repositorios de Github

Github es un sistema de control de versiones en línea que se utiliza para el desarrollo colaborativo de software. Funciona mediante un repositorio central que contiene el código fuente de un proyecto de software.

El código fuente llega al sitio cuando el autor "envía" el directorio que lo contiene a Github, replicando todo creando un repositorio allí.

Cuando el autor decide hacer público ese repositorio, otros desarrolladores de software pueden "bifurcarlo", produciendo una copia del repositorio para su propio uso, que luego es "clonado" o copiado en sus computadoras locales.

[cita posterior]

Una vez que hayan realizado sus propias contribuciones al proyecto, ya sea modificando o agregando nuevo código fuente, pueden sincronizar su código con el repositorio bifurcado y luego pedirle al autor original que "recupere" sus contribuciones en el repositorio original.

Desafortunadamente, algunos desarrolladores de software almacenan sin saberlo en esos directorios "claves" digitales que se utilizan para acceder a servicios en línea.

Mientras el repositorio de Github sea privado, ONE más podrá verlos. Pero tan pronto como lo hagan público, el directorio se podrá buscar y otros podrán crear el repositorio y acceder a las claves.

Este Ya ha sucedido en Github antescon un tipo de certificado digital llamado SSH (Secure Shell), que puede otorgar a los atacantes acceso a la computadora del desarrollador de software. Y también le pasó a Chadwick. Dijo:

“El problema era el mismo (integrado en los repositorios de GitHub), pero esto es diferente a las claves SSH, que solo se podían usar para conectarse a una instancia existente”.

“Estas claves eran para la API de Amazon y podían usarse para crear nuevas máquinas”. Eso fue lo que hizo el atacante.

1.427 horas de instancia

Después de enterarse de que la clave había sido encontrada en su repositorio, Chadwick inició sesión y encontró una factura por $3,420. El usuario no autorizado había creado 20 máquinas virtuales de Amazon. En total, había utilizado 1,427 "horas de instancia", lo que significa que probablemente estuvo en ello por poco menos de tres días.

Chadwick quería guardar las instancias de máquinas virtuales para fines forenses, pero no podía permitirse dejarlas en funcionamiento mientras jugaba para el soporte de Amazon, así que las eliminó.

Sin embargo, justo antes de hacerlo, conectó el volumen de almacenamiento de ONE a su propia instancia de máquina virtual y descubrió que el usuario no autorizado había estado extrayendo litecoins con los ciclos de CPU robados.

En términos de rendimiento computacional, el atacante había hecho un uso efectivo de la cuenta robada, creando una máquina virtual en la clase 'compute-optimized'. La instancia cc2.8xlarge que eligieron tiene un procesador de 64 BIT con 32 CPU virtuales y 88 Unidades de cómputo EC2'.

Scrypt compatible con CPU

Litecoin utiliza un mecanismo de prueba de trabajo llamado scrypt, que está diseñado para ser compatible con la CPU y resistente a las GPU y los ASIC. Esto hace que una instancia EC2 de alto rendimiento sea perfecta para el trabajo, porque la potencia bruta de la CPU es lo que hace bien.

Otros que han configurado instancias de minería scrypt legítimas en EC2 (aunque minando YaCoin, no Litecoin , y en un tipo diferente de scrypt) afirman haber visto 750 Khashes/seg <a href="http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/">http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/</a> en rendimiento por instancia. Por lo tanto, las 20 máquinas del atacante habrían estado minando a alrededor de 15 Mhashes/seg cuando funcionaban juntas.

Al analizar el volumen que montó en su propia máquina virtual, Chadwick descubrió que el atacante había utilizado el pool de minería de Litecoin piscina-x.eupara las monedas.1,156 GH/segEste grupo representa alrededor del 1,1% de toda la tasa de hash de Litecoin , lo que sugiere que, mientras extraía, el atacante podría haber representado alrededor del 1% de la tasa de hash general del grupo.

Fuera de la piscina

El administrador del pool, que envió un correo desde unas vacaciones en Tailandia, prefirió no dar su nombre, pero usa el nombre de usuario "g2x3k". Se disculpó por no haber contestado el correo electrónico de Chadwick. Cree que el robo de ciclos de CPU ocurre a menudo en el espacio de minería de Litecoin .

“Normalmente cierro cuentas cuando Request”, dijo, y agregó que ya había prohibido direcciones IP cuando Request anteriormente. “Incluso si las excluyo, aún pueden configurar un grupo o minar en solitario con esos recursos.

“Tengo una lista de IP de Amazon que ya están prohibidas, ya que se utilizaron al comienzo de Litecoin para minar más de lo que pensé que era una parte justa”, continuó.

Esperemos que por el bien del atacante hayan vendido pronto (o por el bien de la justicia, que no lo hayan hecho). Chadwick se enteró de las instancias y las cerró el lunes 16 de diciembre, que fue el mismo día en que El precio de Litecoin comenzó a desplomarse.

Si el ladrón de nubes no hubiera vendido sus monedas a medida que avanzaba, entonces podría haber perdido una ganancia saludable.

Chadwick no cree que sea muy fácil localizar al atacante. “Aunque estoy seguro de que Amazon tiene algunos registros (al igual que el pool), supongo que la persona estaría usando Tor”, dijo.

Mientras tanto, Amazon intervino y le devolvió el dinero a Chadwick.

CandadoImagen vía Shutterstock