Des chercheurs en sécurité ont découvert un système ingénieux dqui est utkilisé par des pirates pour voler des identifiants de connexion AWS via GitHub et les utiliser pour activer et abuser secrètement d’instances AWS afin de miner des crypto-monnaies.
Des chercheurs en sécurité d’Unit 42 de Palo Alto ont découvert une campagne d’attaque sophistiquée visant à exploiter la crypto-monnaie Monero pour le compte de quelqu’un d’autre, avec un gain financier pour les attaquants. Les chercheurs ont découvert un système automatisé qui exploite des données divulguées par accident via GitHub. Pour exploiter une telle erreur, les pirates n’ont besoin que de quelques minutes.
Unit 42 a baptisé cette campagne EleKtra-Leak. Les attaquants responsables peuvent voler les données de connexion AWS seulement cinq minutes après qu’elles soient apparues sur GitHub. AWS et GitHub se sont associés pour détecter ce type de données et les transmettre à AWS, qui applique ensuite automatiquement des règles pour empêcher toute utilisation abusive. Le système d’analyse ne paraît pas très fiable et les criminels à l’origine d’EleKtra-Leak sont préparés à récupérer tout ce qui passera inaperçu.
Minage rapide
Dès qu’ils ont obtenu les données de connexion, ils regardent les possibilités et les régions auxquelles ils peuvent accéder. Ensuite, ils activent autant d’instances c5a.24xLarge dans autant de régions que possible. Ce sont des instances très performantes, avec une grande puissance de calcul. Les pirates les utilisent pour miner le plus rapidement possible la crypto-monnaie Monero. La victime est ensuite facturée.
La campagne serait en cours depuis 2020. Les pirates trouvent toujours un nouveau moyen de s’introduire dans l’environnement. Les chercheurs eux-mêmes ne savent pas exactement comment cela est possible et soupçonnent que les pirates ont peut-être aussi accès à une autre source d’identifiants de connexion.
Quoi qu’il en soit, il est essentiel de ne pas exposer les données AWS via GitHub. Tant que vous ne rendez pas publiques des données exploitables à mauvais escient, il n’y a pas de risque.