Виртуальная машина AWS заражена вредоносным ПО для майнинга. Могут быть и другие

Фирма по кибербезопасности обнаружила скрипт майнинга Monero , встроенный в публичный экземпляр виртуальной машины Amazon Web Service (AWS). Теперь фирма поднимает вопрос: сколько других экземпляров машин Amazon Machine Instances (AMI) сообщества заражены тем же вредоносным ПО?

Исследователи изМитига В сообщении в блоге в пятницу было обнаружено, что AWS AMI для виртуального сервера Windows 2008, размещенного непроверенным поставщиком, заражен скриптом майнинга Monero . Вредоносное ПО могло бы заразить любое устройство, на котором запущен AMI, с целью использования вычислительной мощности устройства для майнинга монеты Политика конфиденциальности Moneroна заднем плане — вредоносная атака, которая стала слишком распространенной на цифровом Диком Западе криптовалют.

«Исследовательская группа безопасности Mitiga обнаружила AWS Community AMI, содержащий вредоносный код, запускающий неопознанного майнера Криптo (Monero). У нас есть опасения, что это может быть явлением, а не изолированным случаем», — говорится в сообщении в блоге.

Monero встречает AMI

Компании и другие организации используют Amazon Web Services для запуска так называемых экземпляров «EC2» популярных программ и сервисов. Также известные как виртуальные машины, эти EC2 разрабатываются третьими лицами и развертываются подЭкземпляр машины Amazonфреймворк, и предприятия используют эти сервисы для снижения затрат на вычислительную мощность для своих бизнес-операций. Пользователи AWS могут получать эти сервисы из Amazon Marketplace AMI, которые являются проверенными поставщиками Amazon, или Community AMI, которые не проверены.

Читать дальше: BlackBerry и Intel борются с вредоносным ПО для криптоджекинга с помощью нового инструмента обнаружения

Mitiga обнаружил этот скрипт Monero в Community AMI для Windows 2008 Server во время проведения аудита безопасности для компании финансовых услуг. В своем анализе Mitiga пришел к выводу, что AMI был создан с единственной целью заражения устройств вредоносным ПО для майнинга, поскольку скрипт был включен в код AMI с самого ONE дня.

За исключением компании по предоставлению финансовых услуг, которая наняла Mitiga для проверки AMI, фирма по кибербезопасности не знает, сколько других объектов и устройств могут быть заражены вредоносным ПО.

«Что касается того, как Amazon позволяет этому происходить, ну, это самый большой вопрос, который возникает в связи с этим Истории, но этот вопрос также следует адресовать команде AWS по коммуникациям», — сообщили представители команды CoinDesk по электронной почте.

CoinDesk обратился к Amazon Web Services, чтобы Словарь больше о подходе компании к работе с непроверенными издателями AMI, но представитель отказался от комментариев. Amazon Web Service документация включает оговорку о том, что пользователи используют Community AMI «на [свой] страх и риск» и что Amazon «T может ручаться за целостность или безопасность [этих] AMI».

Единичное событие или ONE из многих?

Основное беспокойство Mitiga заключается в том, что эта вредоносная программа может быть ONE из нескольких ошибок, бродящих в непроверенных AMI. Тот факт, что Amazon не предоставляет прозрачных данных об использовании AWS, усугубляет это беспокойство, сообщила фирма CoinDesk.

«Поскольку использование AWS клиентами запутано, мы T можем знать, насколько далеко и широко распространяется это явление, без собственного расследования AWS. Однако мы считаем, что потенциальный риск достаточно высок, чтобы выпустить рекомендацию по безопасности для всех клиентов AWS, использующих Community AMI».

Читать дальше: Северная Корея расширяет свою деятельность по майнингу Monero , говорится в отчете

Mitiga рекомендует любой организации, использующей AMI сообщества, немедленно прекратить его работу и поискать замену у надежного поставщика. По крайней мере, предприятия, которые полагаются на AWS, должны тщательно проверять код перед интеграцией непроверенных AMI в свою бизнес-логику.

Вредоносное ПО для майнинга на самом деле может быть самой безобидной формой заражения, с которой может столкнуться бизнес, продолжила фирма в посте. Худший сценарий включает установку AMI бэкдора на компьютер компании или вымогателя, который зашифрует файлы компании с целью вымогательства денег за восстановление доступа.

Эта атака является последней в тенденции так называемых атак «криптоджекинга». Monero — это монета, которую выбирают злоумышленники благодаря своему алгоритму майнинга, который можно легко запустить с помощью центрального процессора и графического процессора компьютера. Когда злоумышленники заражают достаточно компьютеров и объединяют их ресурсы, коллективной вычислительной мощности становится достаточно, чтобы заслужить неплохую зарплату.

Если опасения Mitiga верны, то другие AMI могли заразить пользовательские устройства скриптами для майнинга Monero и остаться незамеченными.