Ang AWS Virtual Machine ay Nahawaan ng Mining Malware. Maaaring May Iba

Ang isang cybersecurity firm ay nakahukay ng Monero mining script na naka-embed sa isang pampublikong instance ng isang Amazon Web Service (AWS) virtual machine. Ngayon ang kumpanya ay nagtataas ng tanong: Ilang iba pang komunidad ng Amazon Machine Instances (AMI) ang nahawaan ng parehong malware?

Ang mga mananaliksik sa Mitiga inihayag sa isang blog post noong Biyernes na ang AWS AMI para sa isang Windows 2008 virtual server na hino-host ng isang hindi na-verify na vendor ay nahawaan ng script ng pagmimina ng Monero . Naimpeksyon sana ng malware ang anumang device na nagpapatakbo ng AMI na may layuning gamitin ang kapangyarihan ng pagpoproseso ng device para minahan ang Privacy coin Monero sa background – isang pag-atake ng malware na naging pangkaraniwan na sa digital wild west ng crypto.

"Natukoy ng pangkat ng pananaliksik sa seguridad ng Mitiga ang isang AWS Community AMI na naglalaman ng malisyosong code na nagpapatakbo ng hindi kilalang minero ng Crypto (Monero).

Nakilala ni Monero ang AMI

Gumagamit ang mga negosyo at iba pang entity ng Amazon Web Services para paikutin ang tinatawag na "EC2" na mga pagkakataon ng mga sikat na programa at serbisyo. Kilala rin bilang mga virtual machine, ang mga EC2 na ito ay binuo ng mga ikatlong partido at inilalagay sa ilalim ng Instance ng Amazon Machine framework, at ginagamit ng mga negosyo ang mga serbisyong ito para mapababa ang mga gastos sa compute power para sa kanilang mga operasyon sa negosyo. Maaaring pagkunan ng mga user ng AWS ang mga serbisyong ito mula sa mga AMI ng Amazon Marketplace, na mga vendor na na-verify ng Amazon, o mga AMI ng Komunidad, na hindi na-verify.

Read More: Hinaharap ng BlackBerry at Intel ang Cryptojacking Malware Gamit ang Bagong Detection Tool

Natuklasan ni Mitiga ang Monero script na ito sa isang Community AMI para sa isang Windows 2008 Server habang nagsasagawa ng security audit para sa isang kumpanya ng mga serbisyo sa pananalapi. Sa pagsusuri nito, napagpasyahan ng Mititga na ang AMI ay nilikha na may tanging layunin na mahawahan ang mga device ng malware sa pagmimina, dahil ang script ay kasama sa code ng AMI mula sa ONE araw .

Sa labas ng kumpanya ng mga serbisyo sa pananalapi na kumuha ng Mitiga upang suriin ang AMI, hindi alam ng cybersecurity firm kung gaano karaming iba pang entity at device ang maaaring nahawaan ng malware.

"Kung paano pinapayagan ng Amazon na mangyari ito, mabuti, ito ang pinakamalaking tanong na lumitaw mula sa Discovery na ito, ngunit ito ay isang tanong na dapat ding idirekta sa (sic) Comms team ng AWS," sinabi ng koponan sa CoinDesk sa pamamagitan ng email.

Naabot ng CoinDesk ang Amazon Web Services upang Learn nang higit pa tungkol sa diskarte nito sa paghawak ng mga hindi na-verify na publisher ng AMI ngunit tumanggi ang isang kinatawan na magkomento. Amazon Web Service's dokumentasyon kasama ang caveat na pipiliin ng mga user na gumamit ng mga Community AMI "sa [kanilang] sariling peligro" at na ang Amazon ay "T matiyak ang integridad o seguridad ng [mga] AMI na ito."

Isang kaganapan o ONE sa marami?

Ang pangunahing alalahanin ng Mitiga ay ang malware na ito ay maaaring ONE sa ilang mga bug na kumakalat sa mga hindi na-verify na AMI. Ang katotohanan na ang Amazon ay hindi nagbibigay ng transparent na data tungkol sa paggamit ng AWS ay nagpapalala sa pag-aalala na ito, sinabi ng kompanya sa CoinDesk.

"Habang na-obfuscate ang paggamit ng customer ng AWS, T namin malalaman kung gaano kalayo at lawak ang phenomenon na ito nang walang sariling pagsisiyasat ng AWS. Gayunpaman, naniniwala kami na ang potensyal na panganib ay sapat na mataas upang mag-isyu ng payo sa seguridad sa lahat ng customer ng AWS na gumagamit ng mga Community AMI."

Read More: Pinapalawak ng Hilagang Korea ang Monero Mining Operations Nito, Sabi ng Ulat

Inirerekomenda ng Mitiga na ang anumang entity na nagpapatakbo ng isang community AMI ay dapat itong wakasan kaagad at maghanap ng kapalit mula sa isang pinagkakatiwalaang vendor. Hindi bababa sa, ang mga negosyong umaasa sa AWS ay dapat na masusing suriin ang code bago isama ang mga hindi na-verify na AMI sa kanilang lohika ng negosyo.

Ang pagmimina ng malware ay maaaring ang pinaka-hindi nakapipinsalang anyo ng impeksiyon na maaaring maranasan ng isang negosyo, nagpatuloy ang kumpanya sa post. Kasama sa pinakamasamang sitwasyon ang isang AMI na nag-i-install ng backdoor sa computer ng negosyo o ransomware na mag-e-encrypt ng mga file ng kumpanya na may layuning pangingikil ito para sa pera upang mabawi ang access.

Ang pag-atake ay ang pinakabago sa isang trend ng tinatawag na "crypto-jacking" na pag-atake. Ang Monero ang napiling barya sa mga umaatake dahil sa algorithm ng pagmimina nito, na madaling patakbuhin gamit ang CPU at GPU ng computer. Kapag ang mga umaatake ay nahawahan ng sapat na mga computer at pinagsama ang kanilang mga mapagkukunan, ang sama-samang hashpower ay sapat na upang makakuha ng isang magandang araw ng suweldo.

Kung totoo ang pangamba ni Mitiga, maaaring nahawahan ng ibang mga AMI ang mga device ng user na may mga script ng Monero mining at hindi napapansin.