Une nouvelle opération de cryptojacking cloud native, nom de code AMBERSQUID, a émergé ciblant les offres inhabituelles d’Amazon Web Services (AWS), telles qu’AWS Amplify, AWS Fargate et Amazon SageMaker, pour extraire illégalement de la cryptomonnaie. La société de sécurité du cloud et des conteneurs Sysdig a découvert cette cyberactivité malveillante et l’a baptisée AMBERSQUID.
Sysdig a signalé que l’opération AMBERSQUID a pu exploiter les services cloud sans qu’AWS ait besoin de l’approbation de ressources supplémentaires. Cette opération ciblait plusieurs services, créant des défis en matière de réponse aux incidents, car elle nécessite de trouver et d’éliminer tous les mineurs sur chaque service exploité.
Sysdig a déterminé que la campagne AMBERSQUID avait probablement été menée par des attaquants indonésiens sur la base de l’utilisation de la langue indonésienne dans les scripts et les noms d’utilisateur. Grâce à l’analyse de 1,7 million d’images sur Docker Hub, Sysdig a découvert que certaines de ces images exécutaient des mineurs de cryptomonnaie téléchargés à partir de référentiels GitHub contrôlés par des acteurs, tandis que d’autres exécutaient des scripts shell ciblant AWS.
Un élément important de cette opération est l’utilisation abusive d’AWS CodeCommit pour créer un référentiel privé qui est ensuite utilisé comme source dans divers services. Par exemple, le référentiel contient le code source d’une application AWS Amplify, qu’un script shell exploite pour créer une application Web Amplify et démarrer ensuite le mineur de crypto-monnaie.
Les auteurs de la menace ont également utilisé des scripts shell pour effectuer du cryptojacking sur les instances AWS Fargate et SageMaker, entraînant ainsi des coûts informatiques importants pour les victimes. Sysdig estime que s’il était étendu à toutes les régions AWS, AMBERSQUID pourrait générer des pertes de plus de 10 000 $ par jour. Les attaquants ont déjà réalisé plus de 18 300 dollars de revenus à ce jour, selon une analyse des adresses de portefeuille utilisées.
Bien que ce ne soit pas la première fois que des acteurs indonésiens de la menace sont associés à des campagnes de cryptojacking, cela souligne l’importance d’envisager des mesures de sécurité pour tous les services AWS, et pas seulement pour les services de calcul comme EC2. Certains services, tels qu’AWS Amplify, AWS Fargate et Amazon SageMaker, fournissent également un accès aux ressources de calcul, ce qui en fait des cibles potentielles pour les attaques.
Source : L’actualité des hackers
Définitions :
- Cryptojacking : Utilisation non autorisée de l’ordinateur d’une autre personne pour extraire des cryptomonnaies sans son consentement ou à son insu.
- AWS amplifie : Une plate-forme de développement pour créer des applications Web et mobiles évolutives hébergées sur AWS.
- AWS Fargate : Un moteur informatique sans serveur pour conteneurs qui facilite l’exécution de conteneurs sans avoir à gérer l’infrastructure sous-jacente.
- Amazon SageMaker : Un service entièrement géré qui donne aux développeurs et aux data scientists la possibilité de créer, former et déployer efficacement des modèles d’apprentissage automatique.
- Validation du code AWS : Un service de contrôle de source entièrement géré qui permet aux développeurs d’héberger des référentiels Git sécurisés et évolutifs.
- Crypto-monnaie : Forme de monnaie numérique ou virtuelle qui utilise la cryptographie pour sécuriser les transactions et contrôler la création de nouvelles unités.