L’équipe de sécurité AWS GuardDuty d’Amazon met en garde contre une campagne de crypto-extraction en cours qui cible son Elastic Compute Cloud (EC2) et son Elastic Container Service (ECS) en utilisant des informations d’identification compromises pour la gestion des identités et des accès (IAM).
L’opération a débuté le 2 novembre et a utilisé un mécanisme de persistance qui a prolongé les opérations minières et entravé les intervenants en cas d’incident.
L’acteur de la menace a utilisé une image Docker Hub créée fin octobre et comptant plus de 100 000 extractions.
Le service Amazon EC2 permet aux utilisateurs d’exécuter des machines virtuelles dans AWS, tandis qu’ECS permet d’exécuter des applications conteneurisées (par exemple, des applications Docker) sur la plate-forme cloud.
Planter des crypto-mineurs sur ces instances permet aux acteurs de la menace de profiter financièrement aux dépens des clients AWS et d’Amazon, qui doivent supporter le fardeau de l’épuisement des ressources de calcul.
Amazon affirme que l’attaquant n’a pas exploité une vulnérabilité mais a utilisé des informations d’identification valides dans les comptes clients.
Opérations de crypto-minage
AWS a déclaré dans un rapport publié aujourd’hui que l’attaquant avait commencé le minage de chiffrement dans les 10 minutes suivant l’accès initial, à la suite de la reconnaissance des quotas de service EC2 et des autorisations IAM.
Cela a été possible en enregistrant une définition de tâche pointant vers l’image du hub Docker yenik65958/secret, créée le 29 octobre, qui comprenait un cryptomineur SBRMiner-MULTI et un script de démarrage pour le lancer automatiquement au démarrage du conteneur.
Chaque tâche a été configurée avec 16 384 unités centrales et 32 Go de mémoire, et le nombre souhaité pour les tâches ECS Fargate a été défini sur 10.
Sur Amazon EC2, l’attaquant a créé deux modèles de lancement avec des scripts de démarrage qui lançaient automatiquement le minage de chiffrement, ainsi que 14 groupes de mise à l’échelle automatique configurés pour déployer au moins 20 instances chacun, avec une capacité maximale de 999 machines.
Nouvelle méthode de persistance
Une fois les machines en cours d’exécution, l’attaquant a activé un paramètre qui empêche les administrateurs de les arrêter à distance, forçant les intervenants à désactiver explicitement la protection avant de les arrêter. Cela a probablement été introduit pour retarder la réponse et maximiser les profits du minage de cryptomonnaies.
« Une technique intéressante observée dans cette campagne a été l’utilisation par l’auteur de la menace de ModifyInstanceAttribute sur toutes les instances EC2 lancées pour désactiver la terminaison de l’API », explique Amazon.
« Bien que la protection contre la résiliation accidentelle de l’instance empêche la résiliation accidentelle de l’instance, elle ajoute une considération supplémentaire pour les capacités de réponse aux incidents et peut perturber les contrôles de correction automatisés », explique la société.
Après avoir identifié la campagne, Amazon a alerté les clients concernés de l’activité de minage de chiffrement et de la nécessité de faire pivoter les informations d’identification IAM compromises.
Un porte-parole d’Amazon a déclaré à Breachtrace que: « AWS a identifié de manière proactive cette campagne en cours et a rapidement alerté les clients de la menace. »
De plus, l’image malveillante Docker Hub a été supprimée de la plate-forme, mais Amazon avertit que l’auteur de la menace pourrait déployer des images similaires sous différents noms et comptes d’éditeur.