Et cybersikkerhetsfirma har avdekket et Monero-gruvedrift - her sitat i sanntid - innenfor en offentlig forekomst av en Amazon Web Service (AWS) virtuell maskin. Nå reiser selskapet spørsmålet: Hvor mange andre Amazon Machine Instances (AMI) i samfunnet ble infisert med samme malware?
Mitiga-forskere avslørte nyheten i et innlegg forrige uke. "Vi frykter at dette kan være et fenomen snarere enn en isolert hendelse," sa Mitigas forskningsgruppe for sikkerhet i innlegget.
Monero møter AMI
Bedrifter og andre enheter bruker Amazon Web Services for å lage det som kalles "EC2" -forekomster av programmer og tjenester. Også kjent som virtuelle maskiner, er EC2-er utviklet av tredjeparter og blir distribuert som en del av Amazon Machine Instance-rammeverket, og bedrifter utnytter disse tjenestene for å redusere kostnadene for datakraft for forretningsdriften.
AWS-brukere kan anskaffe disse tjenestene fra Amazon Marketplace AMI-er, som er Amazon-verifiserte leverandører, eller fra AMI-er fra fellesskapet, som ikke er bekreftet. Mitiga oppdaget det fornærmende monero-skriptet i et fellesskaps-AMI for en Windows 2008-server mens han gjennomførte en sikkerhetsrevisjon for et finansselskap.
I sin analyse konkluderte Mititga med at AMI ble opprettet med det eneste formål å infisere enheter med gruvedrift, da skriptet var inkludert i AMIs kode fra første dag.
Nettsikkerhetsselskapet er ikke klar over hvor mange andre enheter og enheter som kan bli infisert med skadelig programvare. "Når det gjelder hvordan Amazon tillater at dette skjer, vel, det er det største spørsmålet som oppstår fra denne oppdagelsen, men det er et spørsmål som også bør stilles til AWS Comms-teamet," sa teamet.
Amazon Web Service-dokumentasjonen inkluderer en ansvarsfraskrivelse om at brukere velger å bruke fellesskaps-AMIer "på [egen] risiko" og at Amazon "ikke kan garantere integriteten eller sikkerheten til [disse] AMI-ene."
Enkelt begivenhet eller utbredt fenomen?
Mitigas største bekymring er at denne skadelige programvaren kan være en av de mange feilene som spres i ubekreftede AMI-er. Det faktum at Amazon ikke gir gjennomsiktige data om AWS-bruk forverrer denne bekymringen, hevder selskapet.
Mitiga anbefaler at enhver enhet som kjører et AMI-fellesskap, avslutter det umiddelbart og foretar en erstatning gjennom en pålitelig leverandør. I det minste bør selskaper som stoler på AWS, nøye undersøke koden grundig før de integrerer ubekreftede AMI-er i deres forretningslogikk.
Gruvedrift kan faktisk være den mest ufarlige smitteformen et selskap kan oppleve, fortsatte Mitiga i innlegget. I verste fall inkluderer en AMI som installerer en bakdør på en datamaskin eller løsepenger som krypterer firmafiler med sikte på å presse ut penger for å få tilgang igjen.
Hvis Mitigas frykt er sann, kan andre AMI-er ha infiserte brukerenheter med monero mining-skript og gå ubemerket hen.
