Los piratas informáticos han encontrado una nueva forma de abusar de las cuentas de computación en la nube generando máquinas virtuales para unirse a una entrega de contenido basada en blockchain. Esto les permite potencialmente eludir las limitaciones impuestas por los administradores para evitar la minería de criptomonedas porque la atención no se centra en los ciclos de la CPU y la RAM, sino en el espacio de almacenamiento y el ancho de banda.
Investigadores de la empresa de seguridad Sysdig recientemente investigó un ataque campaña que generó 6.000 microinstancias a partir de una cuenta de AWS comprometida en diferentes regiones e implementó el cliente para un servicio de entrega de contenido basado en blockchain y un mercado de ancho de banda llamado Meson Network.
Este servicio permite a los usuarios poner su espacio de almacenamiento y ancho de banda adicionales a disposición de otros proyectos a través de una red descentralizada de nodos a cambio de tokens criptográficos llamados MSN. Este es el equivalente de Meson a la minería en otros proyectos de criptomonedas donde los usuarios reciben tokens de recompensa por usar sus recursos informáticos para realizar «trabajos» para la red, como validar transacciones.
El problema con este cambio en las técnicas de monetización es que las detecciones existentes de picos de CPU y los límites impuestos al número y tipo de instancias que una cuenta puede generar podrían no aplicarse a este ataque. Por ejemplo, la cuenta que Sysdig observó que sufrían abusos en su red de honeypot tenía una limitación para crear solo microinstancias. Estas son instancias de AWS con CPU y RAM muy limitadas que no serían muy útiles para un criptominero tradicional, pero no desanimaron a los piratas informáticos en este caso, que generaron alrededor de 6.000 de ellas. Esto le habría costado al propietario de la cuenta un estimado de $2000 por día, e incluso más si se cuenta el costo de las direcciones IP públicas asignadas a esas instancias.
Los atacantes utilizan múltiples técnicas de acceso inicial
Los atacantes comprometieron los servidores honeypot de Sysdig a través de una vulnerabilidad conocida en el marco PHP de Laravel (CVE-2021-3129), así como a través de una mala configuración de WordPress. Esto muestra que estos atacantes emplean múltiples técnicas para obtener acceso inicial a los servidores de sus víctimas.
Luego utilizaron técnicas de reconocimiento para determinar su entorno y abusaron de los privilegios de las credenciales de AWS comprometidas para generar lotes de 500 instancias en múltiples regiones de AWS mediante el uso de una imagen de VM pública para Ubuntu 22.04. Lo hicieron aprovechando el comando RunInstances con un campo de datos de usuario que contenía comandos adicionales para descargar y ejecutar el binario meson_cdn al inicio.