Descubierto criptominer integrado en Amazon AWS Community AMI

Se ha descrubierto un criptominer integrado en imágenes de máquinas de Amazon (AMI) compartidas por la comunidad de AWS.

5

Las imágenes de máquinas de Amazon (AMI) son plantillas preconfiguradas con un sistema operativo, servidor de aplicaciones y aplicaciones predeterminadas utilizadas para iniciar una máquina virtual. Desde una AMI, los usuarios inician una instancia o una copia de la AMI que se ejecuta como un servidor virtual en la nube. Existen diferentes formas de obtener las AMI a través de Amazon:

  • a través de AWS Marketplace, donde los usuarios pueden comprar AMIs o pagar por uso; estas AMIs son verificadas por Amazon y únicamente pueden ser publicadas por usuarios aprobados previamente en el sistema.
  • a través de la comunidad, donde cualquier usuario puede crear AMIs y públicarlas para compartirlas con otros usuarios de AWS; en este caso estas AMI no están verificadas por Amazon, no es neceasrio comprarla pero sí se debe pagar por su uso.

Los expertos de seguridad de la empresa Mitiga, durante la investigación de un incidente para una institución financiera relacionado con algunas máquinas con Windows 2008 Server, se percataron de que la máquina estaba haciendo uso de una cantidad de recursos inusual.

El análisis reveló un malware de tipo criptominer para la criptomoneda Monero ejecutándose en uno de los servidores EC2 de la institución financiera que utilizaba una AMI compartida por la comunidad. Es decir, ¡alguien publicó en la comunidad una AMI que mina criptomonedas en segundo plano! Los investigadores de Mitiga estiman que esta AMI ha estado siendo compartida durante cinco años y que el criptominer ha estado ejecutándose en ella desde el principio.

El problema real radica en que la minería de criptomonedas es muy costosa computacionalmente hablado e implica la utilización de grandes cantidades de recursos en una máquina. De este modo, mientras que las criptomonedas extraidas van a parar a la cuenta del atacante, la factura por el uso la debe pagar el cliente. Y debido a los recursos utilizados por el criptominer, puede resultar bastante costosa, a pesar de que la máquina AMI resultase gratuita.

Este tipo de ataques podría ir mucho más lejos y resultar mucho más preocupante que una factura abultada debido a un criptominer: por ejemplo, se podría instalar en una AMI compartida una puerta trasera que permitise conectarse a la máquina y realizar una infección de malware o acceder a información privada de las empresas que la utilicen en cualquier momento posterior.

Además, esto podría estar ocurriendo con otras AMIs comunitarias, por lo que se recomienda a los usuarios de AWS que ejecutan instancias de Elastic Cloud Compute (EC2) basadas en AMIs compartidas por la comunidad que busquen código incrustado potencialmente malicioso, o bien hacer uso de las AMIs confiables.

Más información:
Security Advisory: Mitiga Recommends All AWS Customers Running Community AMIs to Verify Them for Malicious Code
https://www.businesswire.com/news/home/20200821005011/en/

Comparte en tus redes: