Хакер взломал аккаунт на облачном хостинге Amazon с целью майнинга лайткоинов

• 10 000
• 0

Зачем утруждать себя установкой на тысячи компьютеров вредоносных программ для CPU-майнинга, если можно просто взломать чей-либо аккаунт на облачном хостинге Amazon и создать хорошо управляемый центр обработки данных.

На этой неделе разработчик программного обеспечения обнаружил, что кому-то удалось сделать это и исчезнуть с целой кучей лайткоинов.

Люк Чедвик, программист из Мельбурна, был шокирован, получив электронное письмо от Amazon. В нем сообщалось, что его персональный Amazon ключ (специальная защита необходимая для входа в Веб-сервисы Amazon) был обнаружен в одном из его GitHub-хранилищ.

GitHub-хранилища

GitHub это онлайн версия системы контроля, которая используется для совместной разработки программного обеспечения. Она работает, используя центральное хранилище, в котором находится исходный код программы.

Исходный код попадает на сайт, когда автор перемещает папку с данным кодом на GitHub, тем самым копируя целиком код и создавая хранилище там.

Когда автор решает сделать хранилище общедоступным, другие разработчики могут подключаться к нему, делать копию исходного кода для собственного использования и сохранять ее на свой компьютер.

Как только они внесли что-то свое в разработку проекта (изменив или добавив новый системный код), программисты могут синхронизировать свой исходный код с уже подключенным хранилищем, а затем попросить его создателя переместить их вклад в первоначальное хранилище.

К сожалению, некоторые разработчики неразумно хранят свои цифровые пароли в тех папках, которые открыты для доступа.

До тех пор пока GitHub хранилище остается закрытым, никто другой не может видеть это. Но как только оно становится общедоступным, папка индексируется поисковиками и кто угодно может формировать в ней хранилища и получать доступ к паролям.

Такое уже случалось и раньше с цифровым сертификатом SSH, который может позволить хакерам получить доступ на личный компьютер разработчика. Подобная ситуация случилась и с Чедвиком. Он рассказал:

«Проблема была такой же (связанная с хранилищами GitHub), однако тип сертификата SSH был другим и отвечал за доступ к уже существующим серверам».

Эти пароли были от приложения Amazon и могли быть использованы для создания новых виртуальных машин. Именно это злоумышленник и сделал.

1427 серверных часов

Получив сообщение о находке пароля в хранилище, Чедвик зашел на свой аккаунт и обнаружил счет на 3,420 долларов. Неавторизованный пользователь создал 20 виртуальных Amazon машин. В общей сложности они использовали 1427 серверных часа, что означает тот факт, что происходило это в течение почти трех дней.

Чедвик хотел сохранить данные машины с целью дальнейшего использования данного аргумента в суде, однако он отключил их, так как не мог позволить себе их функционирование во время общения со службой техподдержки Amazon.

Стоит отметить, что перед совершением данного действия, Чедвик просмотрел информацию, что хранилась на одном из сервером данных виртуальных машин. Он обнаружил, что неавторизованный пользователь занимался майнингом лайткоинов с помощью украденных циклов центральных процессоров.

Хакер эффективно воспользовался украденным аккаунтом и создал оптимизированные виртуальные машины. Сервер, выбранный злоумышленником, принадлежит к классу cc2.8xlarge, имеет процессор с частотой в 64 бита, а также 32 виртуальных центральных процессора и 88 вычислительных единиц класса EC2.

Безопасный для ЦП скрипт

Лайткоин использует специальный механизм доказательства выполненной работы под названием Скрипт, который является безопасным к ЦП и устойчив к графическому процессору и интегральным схемам специального назначения. Благодаря этому сервер типа EC2 является идеальным для работы, так как по максимуму использует возможности ЦП.

Другие, кто воспользовался легальным скриптом для майнинга на сервере типа EC2, утверждают, что наблюдали хеши текущего блока со скоростью в 750 тысяч хешей в секунду. Тем самым, машины злоумышленника, запущенные одновременно, могли майнить со скоростью 15 миллионов хешей в секунду.

Анализируя данные, которые Чедвик перенес на свою виртуальную машину, программист обнаружил, что майнинг происходил через пул pool-x.eu. Со скоростью в 1,156 миллионов хешей в секунду данный пул занимает 1,1% от общего уровня хеша лайткоинов, что означает тот факт, что во время майнинга хакер мог рассчитывать на 1% от общего уровня хеша всего пула.

Вне пула

Администратор пула отписался по электронной почте, однако предпочел не называть своего имени. Он извинился за несвоевременное рассмотрение электронного письма Чедвика. Администратор считает, что воровство циклов ЦП достаточно распространенное событие в процессе майнинга.

Он заявил: «Обычно, если поступает подобная просьба, я блокирую аккаунты». Кроме того, администратор также добавил, что по такой же схеме и занимается блокировкой IP-адресов. Однако он считает, что даже если забанить подобных злоумышленников, ничто не помешает им создать новый пул или одиночный майнер с использованием уже имеющихся ресурсов.

Можно понадеяться, что хакерам удалось все быстро продать (или нет, если Вы считаете, что справедливость должна восторжествовать). Сервера были обнаружены и закрыты Чедвиком 16 декабря, как раз в тот день, когда цена на лайткоины начала стремительно падать.

Если ворам не удалось продать все награбленные лайткоины, то они явно лишились значительной части прибыли.

Чедвик считает, что отследить злоумышленника будет совсем не просто. «Хоть я и знаю, что у Амазона, как и у пула, есть свои записи, я уверен, что хакер использовал систему Tor».

Дата публикации: 21.12.2013