Фирма по кибербезопасности обнаружила скрипт для майнинга Monero - вот там цитата в реальном времени - в публичном экземпляре виртуальной машины Amazon Web Service (AWS). Теперь компания поднимает вопрос: сколько других экземпляров машин Amazon (AMI) в сообществе были заражены тем же вредоносным ПО?
Исследователи Mitiga сообщили об этом в сообщении на прошлой неделе. «Мы опасаемся, что это может быть явлением, а не единичным событием», - говорится в сообщении группы исследователей безопасности Mitiga.
Monero встречает AMI
Компании и другие организации используют Amazon Web Services для создания так называемых «EC2» экземпляров программ и сервисов. EC2, также известные как виртуальные машины, разрабатываются третьими сторонами и развертываются как часть инфраструктуры Amazon Machine Instance, и предприятия используют эти услуги для снижения стоимости вычислительной мощности для своих бизнес-операций.
Пользователи AWS могут приобретать эти сервисы через AMI Amazon Marketplace, которые являются проверенными поставщиками Amazon, или через AMI сообщества, которые не прошли проверку. Митига обнаружил вредоносный сценарий Monero в AMI сообщества для сервера Windows 2008 во время аудита безопасности для компании, предоставляющей финансовые услуги.
В своем анализе Мититга пришел к выводу, что AMI был создан с единственной целью - заражать устройства вредоносным ПО для майнинга, поскольку сценарий был включен в код AMI с первого дня.
Компания по кибербезопасности не знает, сколько других сущностей и устройств могут быть заражены вредоносным ПО. «Что касается того, как Amazon позволяет этому случиться, ну, это самый большой вопрос, который возникает в результате этого открытия, но это вопрос, который также следует задать команде AWS Comms», - заявила команда.
Документация Amazon Web Service включает заявление об отказе от ответственности о том, что пользователи предпочитают использовать AMI сообщества «на [свой] риск» и что Amazon «не может гарантировать целостность или безопасность [этих] AMI».
Единичное событие или массовое явление?
Основная проблема Mitiga заключается в том, что это вредоносное ПО может быть одной из многих ошибок, которые распространяются в непроверенных AMI. Компания утверждает, что тот факт, что Amazon не предоставляет прозрачные данные об использовании AWS, усугубляет эту озабоченность.
Mitiga рекомендует любому лицу, использующему AMI сообщества, немедленно прекратить его поддержку и произвести замену через доверенного поставщика. По крайней мере, компании, использующие AWS, должны тщательно изучить код, прежде чем интегрировать непроверенные AMI в свою бизнес-логику.
Вредоносное ПО для майнинга на самом деле может быть самой безобидной формой заражения, с которой может столкнуться компания, - продолжает Митига. В худшем случае - это AMI, устанавливающий бэкдор на корпоративный компьютер, или программа-вымогатель, которая шифрует корпоративные файлы с целью вымогательства денег для восстановления доступа.
Если опасения Митига верны, другие AMI могли заразить устройства пользователей скриптами майнинга Monero и остаться незамеченными.
