Warum sollten Sie CPU-Mining-Malware auf Tausenden von Computern installieren, wenn Sie einfach in das Amazon Cloud Computing-Konto einbrechen und stattdessen ein gut verwaltetes Rechenzentrum erstellen?

Diese Woche hat ein Softwareentwickler herausgefunden, dass jemand genau das getan hat und sich mit einem Haufen Litecoins auf seinem Groschen davongemacht hat.

Der in Melbourne ansässige Programmierer Luke Chadwick bekam nach Erhalt einer E-Mail von Amazon einen schlimmen Schock. Die Firma teilte ihm mit, dass sein Amazon-Schlüssel (ein Sicherheitsnachweis, der für die Anmeldung bei Amazon-Webdiensten verwendet wurde) in einem seiner Github-Repositories gefunden wurde.

Github-Repositories

Github ist ein Online-Versionskontrollsystem für kollaborative Softwareentwicklung. Es arbeitet mit einem zentralen Repository, das den Quellcode für ein Softwareprojekt enthält.

Der Quellcode erreicht die Site, wenn der Autor das Verzeichnis, das ihn enthält, an Github "schiebt" und das gesamte Ding repliziert, indem er dort ein Repository erstellt.

Wenn der Autor dieses Repository öffentlich macht, können andere Softwareentwickler es "abzweigen" und eine Kopie des Repositories für den eigenen Gebrauch erstellen, die dann "geklont" oder auf ihre lokalen Computer kopiert wird.

& ldquo; Chadwick hat sich angemeldet und eine Rechnung für 3 420 Dollar gefunden. Der nicht autorisierte Benutzer hat zwanzig virtuelle Amazon-Computer erstellt. & rdquo;

Sobald sie ihren eigenen Beitrag zum Projekt geleistet haben, indem sie entweder neuen Quellcode geändert oder hinzugefügt haben, können sie ihren Code mit dem gegabelten Repository synchronisieren und dann den ursprünglichen Autor bitten, ihre Beiträge in das ursprüngliche Repository zurückzuziehen .

Leider speichern einige Softwareentwickler unwissentlich digitale Schlüssel, die für den Zugriff auf Online-Dienste in diesen Verzeichnissen verwendet werden.

Solange das Github-Repository privat ist, kann niemand anderes sie sehen. Sobald sie jedoch veröffentlicht werden, wird das Verzeichnis durchsucht, und andere können das Repository bilden und auf die Schlüssel zugreifen.

Dies ist bei Github zuvor mit einem digitalen Zertifikat namens SSH (Secure Shell) passiert, das Angreifern Zugriff auf den eigenen Computer eines Softwareentwicklers gewährt. Und es ist auch Chadwick passiert. Er sagte:

"Das Problem war das gleiche (eingebettet in GitHub-Repositories), aber das ist anders als die SSH-Schlüssel, die nur verwendet werden konnten, um eine Verbindung zu einer vorhandenen Instanz herzustellen. "

" Diese Schlüssel waren für die Amazon-API und konnten zum Erstellen neuer Maschinen verwendet werden. "Das hat der Angreifer gemacht.

1, 427 Instanzenstunden

Nachdem Chadwick den Schlüssel in seinem Repository gefunden hatte, loggte er sich ein und fand eine Rechnung für 3 420 Dollar. Der nicht autorisierte Benutzer hatte 20 virtuelle Amazon-Maschinen erstellt. Alles in allem hatten sie 1, 427 'Instanzstunden' verbraucht, was bedeutet, dass sie es wahrscheinlich für knapp drei Tage waren.

Chadwick wollte die Instanzen der virtuellen Maschine für forensische Zwecke speichern, konnte es sich aber nicht leisten, sie laufen zu lassen, während er für Amazon-Support spielte, also tötete er sie.

Kurz zuvor hat er jedoch das Speichervolume von einem an seine eigene VM-Instanz angehängt. Er stellte fest, dass der unautorisierte Benutzer Litecoins mit den gestohlenen CPU-Zyklen abgebaut hatte.

In Bezug auf die Rechenleistung hatte der Angreifer das gestohlene Konto effektiv genutzt und eine virtuelle Maschine in der Klasse "compute-optimized" erstellt. Der CC2. Eine größere Instanz, die sie gewählt haben, hat einen 64-Bit-Prozessor mit 32 virtuellen CPUs und 88 'EC2 Compute Units'.

CPU-freundlich scrypt

Litecoin verwendet einen Mechanismus zur Überprüfung der Arbeitsfähigkeit namens scrypt, der CPU-freundlich und resistent gegenüber GPUs und ASICs ist. Dies macht eine leistungsstarke EC2-Instanz perfekt für den Job, weil rohe CPU-Leistung das ist, wofür sie gut ist.

Andere, die legitime Scrypt-Mining-Instanzen auf EC2 eingerichtet haben (obwohl sie YaCoin nicht Litecoin - und in einer anderen Art von Scrypt - abbauen) behaupten, 750 Khashes / Sek. Pro Instanz gesehen zu haben. Die 20 Maschinen des Angreifers hätten daher beim Laufen zusammen etwa 15 Mhash / Sek. Abgebaut.

Chadwick analysierte das Volume, das er auf seiner eigenen virtuellen Maschine installiert hatte, und fand heraus, dass der Angreifer den Litecoin-Mining-Pool pool-x verwendet hatte. eu für die Münzen. Bei 1. 156GH / sec repräsentiert dieser Pool etwa 1,1% der gesamten Litecoin-Hash-Rate, was darauf hindeutet, dass der Angreifer beim Mining ungefähr 1% der gesamten Hash-Rate des Pools ausmachen konnte.

Aus dem Pool

Der Administrator des Pools, der aus einem Urlaub in Thailand mailt, hat es vorgezogen, seinen Namen nicht anzugeben, sondern geht an den Handle 'g2x3k'. Er entschuldigte sich dafür, Chadwicks E-Mail nicht gelesen zu haben. Er denkt, dass es im Litecoin-Mining-Raum sehr häufig zu einem CPU-Zyklus-Diebstahl kommt.

"Normalerweise schließe ich Accounts auf Anfrage", sagte er und fügte hinzu, dass er zuvor IP-Adressen auf Anfrage gesperrt habe. "Selbst wenn ich sie ausschließe, können sie immer noch einen Pool oder eine Mine mit diesen Ressourcen einrichten.

"Ich habe eine Liste von Amazon-IPs, die bereits verboten sind, da sie zu Beginn von Litecoin verwendet wurde, um mehr zu gruben, als ich dachte, es war ein fairer Anteil", fuhr er fort.

Hoffen wir auf Angreifer, dass sie früh verkauft haben (oder aus Gründen der Gerechtigkeit, dass sie es nicht getan haben). Chadwick erfuhr von den Vorfällen und schloß sie am Montag, dem 16. Dezember, ab. Am selben Tag, an dem der Preis von Litecoin begann zu stürzen.

Wenn der Cloud-Dieb seine Münzen nicht verkaufen würde, hätten sie einen gesunden Gewinn verlieren können.

Chadwick glaubt nicht, dass es sehr einfach ist, den Angreifer ausfindig zu machen. "Ich bin mir zwar sicher, dass Amazon einige Aufzeichnungen hat (wie auch der Pool), aber ich würde erwarten, dass die Person Tor benutzt", sagte er.

Mittlerweile ist Amazon aufgestanden und hat Chadwick sein Geld zurückerstattet.

Vorhängeschloss-Bild über Shutterstock