Amazon’un AWS GuardDuty güvenlik ekibi, Elastic Compute Cloud (EC2) ve Elastic Container Service (ECS) üzerinde hedef alınan devam eden bir kripto madencilik kampanyası hakkında uyarılarda bulundu. Bu kampanya, kimlik ve erişim yönetimi (IAM) için ele geçirilmiş kimlik bilgilerini kullanarak gerçekleştirilmekte.
Olay, 2 Kasım’da başladı ve madencilik operasyonlarını uzatan ve olay müdahale ekiplerini zorlaştıran bir kalıcılık mekanizması kullandı. Tehdit aktörleri, Ekim ayının sonunda oluşturulan ve 100.000’den fazla çekim alan bir Docker Hub görüntüsü kullandı.
Kripto Madencilik Operasyonları
Amazon, yayımladığı bir raporda, saldırganların başlangıç erişiminin ardından sadece 10 dakika içinde kripto madenciliğine başladıklarını belirtiyor. Saldırganlar, EC2 hizmet kotaları ve IAM izinleri üzerine keşif yaptıktan sonra, Ekim 29’da oluşturulmuş yenik65958/secret adlı Docker Hub görüntüsüne işaret eden bir görev tanımı kaydederek madenciliğe başladılar. Bu görüntü, SBRMiner-MULTI kripto madencisini ve konteynerin başladığında otomatik olarak himaye edilmesini sağlayan bir başlatma betiğini içeriyordu.
Her bir görev, 16.384 CPU birimi ve 32GB bellek ile yapılandırıldı. ECS Fargate görevlerinin istenen sayısı 10 olarak ayarlandı. Bu sayede saldırganlar, bulut kaynaklarını sömürerek maddi kazanç elde ettiler.
Kaynak: Amazon
Amazon EC2 üzerinde saldırgan, otomatik olarak madenciliği başlatacak startup scriptleri ile iki başlatma şablonu oluşturdu. Ayrıca, en az 20 örnek dağıtacak şekilde yapılandırılmış 14 otomatik ölçekleme grubu oluşturdu; her grup, maksimum 999 makine kapasitesine sahipti.
Yeni Kalıcılık Yöntemi
Makinalar çalışmaya başladıktan sonra, saldırganlar yöneticilerin uzaktan kapanmalarını engelleyen bir ayar etkinleştirdi. Bu durum, yanıt verenlerin makineleri kapatmadan önce korumayı manuel olarak devre dışı bırakmalarını zorunlu kıldı. Bu özellik, yanıt sürelerini geciktirerek kripto madencilik kârlarını maksimize etmek amacıyla getirildi.
Amazon, kampanya hakkında şu bilgileri paylaşıyor: “ModifyInstanceAttribute fonksiyonunun tüm başlatılan EC2 örneklerinde API sonlandırmasını devre dışı bırakmak için kullanılmış olduğunu gözlemledik.” Bu durum, otomatik düzeltme kontrollerinin kesintiye uğramasına ve olay müdahale kabiliyetleri için ek dikkate neden olmaktadır.
Kampanya tanımlandıktan sonra Amazon, etkilenen müşterilere madencilik faaliyetleri hakkında bilgi vererek, ele geçirilmiş IAM kimlik bilgilerinin yenilenmesi gerektiğini bildirdi. Ayrıca, kötü niyetli Docker Hub görüntüsü platformdan kaldırıldı. Ancak Amazon, tehdit aktörlerinin farklı isimler ve yayıncı hesapları altında benzer görüntüler dağıtabileceği konusunda uyarıyor.
Sonuç olarak, bu tür olaylar, bulut platformlarında güvenlik önlemlerinin ne kadar önemli olduğunu gözler önüne sermektedir. Kullanıcıların ve firmaların IAM kimlik bilgilerini dikkatlice yönetmeleri ve güçlü güvenlik önlemleri almaları gerekmektedir. Aksi takdirde, bu tür saldırılar sadece mali kayıplara değil, aynı zamanda itibar kaybına da yol açabilir.
