Un’azienda di sicurezza informatica ha portato alla luce uno script di mining Monero – qui la quotazione in tempo reale – all’interno di un’istanza pubblica di una virtual machine Amazon Web Service (AWS). Ora l’azienda solleva la domanda: quante altre Amazon Machine Instance (AMI) della community sono state infettate dallo stesso malware?
I ricercatori di Mitiga hanno rivelato la notizia in un post della settimana scorsa. “Temiamo che questo possa essere un fenomeno, piuttosto che un evento isolato “, ha affermato il team di ricerca sulla sicurezza di Mitiga nel post.
Monero incontra AMI
Le aziende e gli altri enti utilizzano Amazon Web Services per creare quelle che vengono chiamate istanze “EC2” di programmi e servizi. Conosciute anche come virtual machine, le EC2 sono sviluppate da terze parti e vengono distribuite nell’ambito del framework Amazon Machine Instance e le aziende sfruttano questi servizi per ridurre i costi della potenza di calcolo per le loro operazioni aziendali.
Gli utenti AWS possono procurarsi questi servizi dalle AMI di Amazon Marketplace, che sono provider verificati da Amazon, o dalle AMI della community, che non sono verificate. Mitiga ha scoperto lo script monero incriminato in un’AMI della community per un server Windows 2008 mentre conduceva un controllo di sicurezza per una società di servizi finanziari.
Nella sua analisi, Mititga ha concluso che l’AMI è stata creata con l’unico scopo di infettare i dispositivi con il malware di mining, poiché lo script è stato incluso nel codice dell’AMI sin dal primo giorno.
La società di sicurezza informatica non è a conoscenza di quanti altri enti e dispositivi potrebbero essere infettati dal malware. “Per quanto riguarda il modo in cui Amazon consente che ciò accada, beh, questa è la domanda più grande che sorge da questa scoperta, ma è una domanda che dovrebbe essere rivolta anche al team di AWS Comms”, ha affermato il team.
La documentazione di Amazon Web Service include l’avvertenza che gli utenti scelgono di utilizzare le AMI della community “a [proprio] rischio” e che Amazon “non può garantire l’integrità o la sicurezza di [queste] AMI”.
Evento unico o fenomeno diffuso?
La preoccupazione principale di Mitiga è che questo malware possa essere uno dei tanti bug che si diffondono nelle AMI non verificate. Il fatto che Amazon non fornisca dati trasparenti sull’uso di AWS aggrava questa preoccupazione, sostiene l’azienda.
Mitiga consiglia a qualsiasi ente che esegua un’AMI della community di interromperla immediatamente e di effettuare una sostituzione tramite un provider affidabile. Per lo meno, le aziende che si affidano ad AWS dovrebbero esaminare meticolosamente il codice prima di integrare le AMI non verificate nella loro logica di business.
Il malware di mining potrebbe effettivamente essere la forma di infezione più innocua che un’azienda possa sperimentare, ha continuato Mitiga nel post. Lo scenario peggiore include un’AMI che installa una backdoor su un computer aziendale o un ransomware che crittografa i file dell’azienda con l’obiettivo di estorcere denaro per riottenere l’accesso.
Se le paure di Mitiga sono vere, altre AMI potrebbero aver infettato i dispositivi degli utenti con script di mining monero e passare inosservate.
