Online Thief Steals Amazon Account to Mine Litecoins in der Cloud

Warum Mühe, CPU-Mining-Malware auf Tausenden von Maschinen zu installieren, wenn du einfach in jemandes Amazon-Cloud-Computing-Konto einstecken und stattdessen ein gut verwaltetes Rechenzentrum schaffen kannst?

Diese Woche entdeckte ein Softwareentwickler, dass jemand genau das getan hatte, und machte sich mit einem Haufen von Litecoins auf seinen Dime.

Melbourne-basierte Programmiererin Luke Chadwick bekam einen bösen Schock, nachdem sie eine E-Mail von Amazon erhalten hatte. Die Firma sagte ihm, dass sein Amazon-Key (ein Sicherheits-Credential, das für die Anmeldung bei Amazon Web Services verwendet wurde) auf einem seiner Github-Repositories gefunden wurde.

Github-Repositories

Github ist ein Online-Versionskontrollsystem für die kollaborative Softwareentwicklung. Es funktioniert mit einem zentralen Repository mit dem Quellcode für ein Software-Projekt.

Der Quellcode erreicht die Seite, wenn der Autor das Verzeichnis, das es enthält, in Github schiebt, das ganze Ding repliziert, indem es dort ein Repository erstellt.

Wenn der Autor das Repository öffentlich macht, können andere Softwareentwickler es "gabeln" und eine Kopie des Repositorys für den eigenen Gebrauch erstellen, der dann "geklont" wird oder auf ihre lokalen Computer kopiert wird.

" Chadwick eingeloggt und fand eine Rechnung für $ 3, 420. Der nicht autorisierte Benutzer hatte zwanzig Amazon virtuelle Maschinen erstellt. "

Sobald sie ihre eigenen Beiträge zum Projekt gemacht haben, entweder indem sie einen neuen Quellcode ändern oder hinzufügen, können sie ihren Code mit dem gegabelten Repository synchronisieren und dann den ursprünglichen Autor bitten, ihre Beiträge zurückzuziehen in das ursprüngliche Repository.

Leider haben einige Softwareentwickler ungewollt digitale 'Schlüssel', die für den Zugriff auf Online-Dienste in diesen Verzeichnissen verwendet werden.

Solange das Github-Repository privat ist, kann man noch niemand sehen. Aber sobald sie es öffentlich machen, wird das Verzeichnis durchsuchbar, und andere können das Repository bilden und auf die Schlüssel zugreifen.

Dies geschah auf Github vorher mit einer Art von digitalem Zertifikat namens SSH (Secure Shell), die Angreifern Zugriff auf einen eigenen Softwareentwickler gewähren kann. Und es passierte auch Chadwick. Er sagte:

"Das Problem war das gleiche (eingebettet in GitHub Repositories), aber das ist anders als die SSH-Tasten, die nur verwendet werden könnten, um eine bestehende Instanz zu verbinden. "

" Diese Tasten waren für die Amazon API und könnte verwendet werden, um neue Maschinen zu erstellen. "Das hat der Angreifer getan.

1, 427 Instanzstunden

Nach dem Wort des Schlüssels, der in seinem Repository gefunden wurde, meldete sich Chadwick ein und fand eine Rechnung für $ 3, 420. Der nicht autorisierte Benutzer hatte 20 virtuelle virtuelle Maschinen erstellt. Alles in allem hatten sie 1, 427 'Instanzstunden' verbraucht, was bedeutet, dass sie wahrscheinlich schon knapp drei Tage hier waren.

Chadwick wollte die virtuellen Maschineninstanzen für forensische Zwecke retten, konnte es sich aber nicht leisten, sie beim Spielen für Amazon-Unterstützung zu verlassen, also hat er sie getötet.

Gerade bevor er es tat, hängte er das Speichervolumen von einem an seine eigene virtuelle Maschine an. Er fand, dass der unberechtigte Benutzer mit den gestohlenen CPU-Zyklen Litecoins abgebaut hatte.

In Bezug auf die Rechenleistung hatte der Angreifer das gestohlene Konto effektiv genutzt und eine virtuelle Maschine in der "rechenoptimierten" Klasse geschaffen. Die cc2 8xgroße Instanz, die sie wählten, hat einen 64-Bit-Prozessor mit 32 virtuellen CPUs und 88 'EC2 Compute Units'.

CPU-freundliche Scrypt

Litecoin nutzt einen Beweis für den Arbeitsmechanismus namens scrypt, der als CPU-freundlich und resistent gegen GPUs und ASICs ausgelegt ist. Dies macht eine leistungsstarke EC2-Instanz perfekt für den Job, denn rohe CPU-Leistung ist, was es gut ist.

Andere, die legitime Scrypt-Mining-Instanzen auf EC2 eingerichtet haben (wenn auch Mining YaCoin nicht Litecoin - und in einer anderen Art von Scrypt) behaupten, 750 Khashes / Sek in Performance pro Instanz gesehen zu haben. Die 20 Maschinen des Angreifers wären also bei etwa 15 Mhashes / Sek. Beim Zusammenlaufen abgebaut worden.

Analysiert das Volumen, das er auf seiner eigenen virtuellen Maschine montiert hat, fand Chadwick, dass der Angreifer das Litecoin-Mining-Pool-Pool-x benutzt hatte. eu für die münzen Bei 1. 156GH / Sek. Repräsentiert dieser Pool etwa 1. 1% der gesamten Litecoin-Hash-Rate, was darauf hindeutet, dass der Angreifer während des Bergbaus etwa 1% des gesamten Hash-Satzes des Pools ausmachen konnte.

Aus dem Pool

Der Pool-Administrator, der aus einem Urlaub in Thailand verschickt, zog es vor, seinen Namen nicht zu geben, sondern geht an den Griff 'g2x3k'. Er entschuldigte sich dafür, dass er nicht die Chadwick-E-Mails abholte. Er denkt, CPU-Zyklus Diebstahl geschieht viel in der Litecoin Bergbau Raum.

"Normalerweise schließe ich Konten auf Anfrage", sagte er und fügte hinzu, dass er zuvor IP-Adressen verboten hat. "Auch wenn ich sie ausschalte, können sie mit diesen Ressourcen noch einen Pool oder eine Solo-Mine aufbauen.

"Ich habe eine Liste von Amazon-IPs schon verboten, da es am Anfang der Litecoin verwendet wurde, um mir zu zählen, dann dachte ich, war ein fairer Anteil", fuhr er fort.

Lasst uns für den Angreifer willen hoffen, dass sie früh verkauft haben (oder um der Gerechtigkeit willen, dass sie nicht). Chadwick fand heraus, über die Instanzen und schalte sie am Montag, den 16. Dezember, das war am selben Tag, dass der Preis von litecoin begann Absturz.

Wenn der Wolkendieb seine Münzen nicht verkaufte, als sie gingen, dann hätten sie einen gesunden Gewinn verloren können.

Chadwick glaubt nicht, dass es sehr einfach wäre, den Angreifer aufzuspüren. "Während ich mir sicher bin, dass Amazon einige Aufzeichnungen hat (wie der Pool), würde ich erwarten, dass die Person mit Tor", sagte er.

In der Zwischenzeit ist Amazon aufgestiegen und hat Chadwick sein Geld zurückerstattet.

Vorhängeschloss Bild über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die für die höchsten journalistischen Standards strebt und sich durch eine strenge Reihe von redaktionellen Richtlinien.Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news @ coindesk. com