Онлайн-злодій викрадає обліковий запис Amazon, щоб майнити Litecoin у хмарі

Навіщо встановлювати зловмисне програмне забезпечення для CPU-майнінгу на тисячі машин, якщо ви можете просто зламати чийсь обліковий запис хмарних обчислень Amazon і натомість створити добре керований центр обробки даних?

Цього тижня розробник програмного забезпечення виявив, що хтось мав зробив саме це, і втік із купою лайткойнів на своєму даймі.

Програміст із Мельбурна Люк Чедвік отримав неприємний шок після отримання електронного листа від Amazon. Фірма повідомила йому, що його ключ Amazon (облікові дані безпеки, які використовуються для входу в веб-сервіси Amazon) було знайдено на ONE з його Репозиторії Github.

Репозиторії Github

Github — це онлайн-система контролю версій, яка використовується для спільної розробки програмного забезпечення. Він працює за допомогою центрального репозиторію, що містить вихідний код програмного проекту.

Вихідний код потрапляє на сайт, коли автор «штовхає» каталог, що містить його, на Github, реплікуючи все, створюючи там сховище.

Коли автор вирішує зробити це сховище загальнодоступним, інші розробники програмного забезпечення можуть «розгалужувати» його, створюючи копію репозиторію для власного використання, яку потім «клонують» або копіюють на їхні локальні комп’ютери.

[пост-цитата]

Після того, як вони зробили свій власний внесок у проект, змінивши або додавши новий вихідний код, вони можуть синхронізувати свій код із розгалуженим репозиторієм, а потім попросити оригінального автора «витягнути» їхні внески назад у вихідне сховище.

На жаль, деякі розробники програмного забезпечення мимоволі зберігають у цих каталогах цифрові «ключі», які використовуються для доступу до онлайн-сервісів.

Поки сховище Github є приватним, ONE інший не зможе їх побачити. Але як тільки вони оприлюднюють його, каталог стає доступним для пошуку, і інші можуть формувати репозиторій, маючи доступ до ключів.

Це траплялося на Github раніше з типом цифрового сертифіката під назвою SSH (Secure Shell), який може надати зловмисникам доступ до власного комп’ютера розробника програмного забезпечення. І це також сталося з Чедвіком. Він сказав:

«Проблема була та сама (вбудована в репозиторії GitHub), але вона відрізняється від ключів SSH, які можна було використовувати лише для підключення до існуючого екземпляра».

«Ці ключі були для API Amazon і могли використовуватися для створення нових машин». Саме це і зробив нападник.

1427 екземпляр-годин

Дізнавшись про те, що ключ знайдено в його сховищі, Чедвік увійшов і знайшов рахунок на 3420 доларів. Неавторизований користувач створив 20 віртуальних машин Amazon. Загалом вони використали 1427 «годин екземплярів», тобто, ймовірно, вони працювали трохи менше трьох днів.

Чедвік хотів зберегти екземпляри віртуальної машини для судової експертизи, але T міг дозволити собі залишити їх працювати під час гри для підтримки Amazon, тому він убив їх.

Однак незадовго до цього він приєднав том сховища від ONE до свого власного екземпляра віртуальної машини. Він виявив, що неавторизований користувач майнив лайткоїни за допомогою вкрадених циклів ЦП.

З точки зору продуктивності обчислень, зловмисник ефективно використав викрадений обліковий запис, створивши віртуальну машину в класі «оптимізований для обчислень». Примірник cc2.8xlarge, який вони вибрали, має 64- BIT процесор із 32 віртуальними процесорами та 88 Обчислювальні блоки EC2’.

CPU-дружній скрипт

Litecoin використовує механізм підтвердження роботи під назвою scrypt, який розроблений для роботи з процесором і стійкий до графічних процесорів і ASIC. Завдяки цьому високопродуктивний екземпляр EC2 ідеально підходить для цієї роботи, тому що це те, в чому він хороший, — це сира потужність ЦП.

Інші, хто налаштував законні екземпляри майнінгу скриптів на EC2 (хоча майнінг YaCoin, а не Litecoin – і в іншому типі скриптів), стверджують, що бачили 750 Khashes/sec <a href="http://www.yacoin.org/yac-illustrated-step-by-step-guide-to-starting-your-own-aws-yac-server-farm/">http://www.yacoin.org/yac-illustrated-step- by-step-guide-to-starting-your-own-aws-yac-server-farm/</a> у продуктивності на екземпляр. Таким чином, 20 машин зловмисника мали б майнінг зі швидкістю приблизно 15 Mhashes/sec, коли вони працювали разом.

Аналізуючи том, який він змонтував на власній віртуальній машині, Чедвік виявив, що зловмисник використовував пул для майнінгу Litecoin. pool-x.eu за монети. на 1,156GH/сек, цей пул становить близько 1,1% від загального хешрейту Litecoin , що свідчить про те, що під час майнінгу зловмисник міг отримати приблизно 1% від загального хешрейту пулу.

Вийти з басейну

Адміністратор пулу, який відправлявся з відпустки в Таїланді, вважав за краще не називати своє ім'я, а називався «g2x3k». Він вибачився за те, що не отримав електронного листа Чедвіка. Він вважає, що крадіжка циклу ЦП часто трапляється у сфері майнінгу Litecoin .

«Зазвичай я закриваю облікові записи за Request», — сказав він, додавши, що раніше забороняв IP-адреси за Request . «Навіть якщо я закрию їх, вони все одно зможуть створити [] пул або соло-шахту з цими ресурсами.

«У мене є список IP-адрес Amazon, які вже заборонені, оскільки вони використовувалися на початку розвитку Litecoin для видобутку більше, ніж я вважав справедливою часткою», — продовжив він.

Будемо сподіватися заради зловмисників, що вони продали раніше (або заради справедливості, що вони не T). Чедвік дізнався про екземпляри та закрив їх у понеділок 16 грудня, тобто в той самий день, коли ціна Litecoin почала падати.

Якби хмарний злодій T продавав свої монети на ходу, то вони могли втратити здоровий прибуток.

Чедвік T вірить, що вистежити нападника буде дуже легко. «Хоча я впевнений, що Amazon має деякі записи (як і пул), я б очікував, що ця людина використовує Tor», — сказав він.

Тим часом Amazon активізувався і повернув Чедвіку його гроші.

навісний замок зображення через Shutterstock