Beveiligingsonderzoekers ontdekten een vlot uitgewerkt systeem waarbij hackers via GitHub AWS-inloggegevens stelen en die vervolgens misbruiken om stiekem AWS-instances te activeren en te misbruiken voor het minen van cryptomunten.
Beveiligingsonderzoekers van Unit 42 van Palo Alto hebben een uitgebreide aanvalscampagne ontdekt die als doel heeft om de cryptomunt Monero te minen op andermans kosten, met het oog op financieel gewin voor de aanvallers. De onderzoekers ontdekten een geautomatiseerd systeem dat misbruik maakt van gegevens die per ongeluk via GitHub gelekt worden. De hackers hebben aan enkele minuten genoeg om zo’n vergissing uit te buiten.
Unit 42 noemt de campagne EleKtra-Leak. De aanvallers die er achter schuilen kunnen AWS-inloggegevens stelen amper vijf minuten nadat die op GitHub zijn verschenen. AWS en GitHub hebben een samenwerking waarbij ook GitHub op dergelijke gegevens scant en die doorgeeft aan AWS, waarna AWS automatisch beleid toepast dat misbruik moet voorkomen. Het scansysteem lijkt niet waterdicht en de criminelen achter EleKtra-Leak staan klaar om te vangen wat door de mazen van het net glipt.
Snel minen
Zodra ze de inloggegevens hebben, kijken ze wat er mogelijk is en tot welke regio’s ze toegang hebben. Vervolgens activeren ze zoveel mogelijk c5a.24xLarge-instances in zoveel mogelijk regio’s. Dat zijn krachtige instances met veel rekenkracht. De hackers gebruiken ze om zo snel mogelijk zo veel mogelijk van de cryptomunt Monero te minen. De rekening is dan voor de geslachtofferde partij.
De campagne zou al sinds 2020 aan de gang zijn. De aanvallers slagen er steeds opnieuw in om omgevingen te kraken. De onderzoekers zelf zijn niet helemaal zeker hoe dat komt, en vermoeden dat de aanvallers misschien ook toegang hebben tot een andere bron van inloggegevens.
Hoe dan ook is het belangrijk om geen AWS-gegevens bloot te stellen via GitHub. Wie geen data publiek zet die misbruikt kan worden, loopt geen risico.