Een cyberbeveiligingsbedrijf heeft een Monero-mijnscript gevonden - hier daar citaat in realtime - binnen een openbare instantie van een virtuele machine van Amazon Web Service (AWS). Nu stelt het bedrijf de vraag: hoeveel andere Amazon Machine Instances (AMI's) in de gemeenschap zijn geïnfecteerd met dezelfde malware?
Mitiga-onderzoekers onthulden het nieuws vorige week in een post. "We zijn bang dat dit eerder een fenomeen is dan een op zichzelf staande gebeurtenis", aldus het veiligheidsonderzoeksteam van Mitiga in de post.
Monero ontmoet AMI
Bedrijven en andere entiteiten gebruiken Amazon Web Services om zogenaamde "EC2" -instances van programma's en services te creëren. EC2's, ook wel bekend als virtuele machines, worden ontwikkeld door derden en worden ingezet als onderdeel van het Amazon Machine Instance-raamwerk, en bedrijven gebruiken deze services om de kosten van rekenkracht voor hun bedrijfsactiviteiten te verlagen.
AWS-gebruikers kunnen deze services aanschaffen bij Amazon Marketplace AMI's, dit zijn door Amazon geverifieerde providers, of bij community AMI's, die niet zijn geverifieerd. Mitiga ontdekte het aanstootgevende monero-script in een community AMI voor een Windows 2008-server terwijl hij een beveiligingsaudit uitvoerde voor een financiële dienstverlener.
In zijn analyse concludeerde Mititga dat de AMI is gemaakt met het enige doel om apparaten te infecteren met mining-malware, aangezien het script vanaf dag één in de code van de AMI was opgenomen.
Het cyberbeveiligingsbedrijf weet niet hoeveel andere entiteiten en apparaten mogelijk met de malware zijn geïnfecteerd. "Wat betreft hoe Amazon dit mogelijk maakt, dat is de grootste vraag die naar voren komt uit deze ontdekking, maar het is een vraag die ook aan het AWS Comms-team moet worden gesteld", aldus het team.
De Amazon Web Service-documentatie bevat een disclaimer dat gebruikers ervoor kiezen om AMI's van de gemeenschap te gebruiken "op [eigen] risico" en dat Amazon "de integriteit of veiligheid van [deze] AMI's niet kan garanderen."
Eenmalige gebeurtenis of een wijdverbreid fenomeen?
Mitiga's grootste zorg is dat deze malware een van de vele bugs kan zijn die zich verspreiden in niet-geverifieerde AMI's. Het feit dat Amazon geen transparante gegevens over het gebruik van AWS verstrekt, verergert deze bezorgdheid, beweert het bedrijf.
Mitiga raadt elke entiteit aan die een community AMI beheert, deze onmiddellijk stop te zetten en een vervanging uit te voeren via een vertrouwde provider. Bedrijven die op AWS vertrouwen, moeten de code op zijn minst nauwkeurig onderzoeken voordat ze niet-geverifieerde AMI's in hun bedrijfslogica integreren.
Mining-malware is misschien wel de meest onschadelijke vorm van infectie die een bedrijf kan ervaren, vervolgde Mitiga in de post. Het worstcasescenario omvat een AMI die een achterdeur op een bedrijfscomputer installeert of ransomware die bedrijfsbestanden versleutelt met als doel geld af te persen om weer toegang te krijgen.
Als Mitiga's angsten waar zijn, kunnen andere AMI's de apparaten van gebruikers hebben geïnfecteerd met monero-mining-scripts en onopgemerkt blijven.
