Аккаунт AWS взломали для майнинга, а владелец получил счёт на $45 000

Блог компании Дата-центр «Миран» Высокая производительность Облачные вычисления Amazon Web Services Облачные сервисы
Вредоносный bash-скрипт в AWS Lambda скачивал майнер каждые три минуты и запускал его на 15 минут во всех регионах AWS

Неприятная история произошла с пользователем AWS по имени Джон Платт, аккаунт которого взломали майнеры — и очень быстро своровали ресурсов на сумму около $45 тыс.

Казалось бы, рядовая история. Тысячи аналогичных историй происходят с владельцами банковских карточек, реквизиты которых воруют кардеры. Во всех этих случаях процедура стандартная. По умолчанию считается, что ресурсы украдены не лично у человека, а у провайдера (банка, облачного хостинга). Соответственно, физическое лицо не несёт никаких обязательств в данном случае. Это теоретически.

В данном случае служба AWS выставила пользователю счёт за украденные ресурсы.

Джон Платт выражает сожаление , что у него нет подписки на круглосуточную поддержку пользователей по телефону. Стоимость этой услуги зависит от ежемесячного счёта. Например, для пользователя со счётом $300 она стоит всего $100 в месяц, а для клиента с таким большим счётом $45 тыс., как сейчас, выйдет уже в сумму от $2000 до $3000.

В данном случае ситуация развивалась следующим образом. Мошенник использовал сервис AWS Lambda, в котором bash-скрипт скачивал майнер каждые три минуты и запускал его на 15 минут. Во всех регионах AWS на планете (а у компании Amazon много дата-центров).


Bash-скрипт

Как видим, использовался стандартный майнер xmrig для Monero (майнинг на CPU), который скачивался с официального репозитория на Github.

В скрипте указан кошелёк майнера. Там видно, что он намайнил примерно 6 XMR, то есть около $800 по текущему курсу. Неплохой доход за день работы.

Джонни Платт не знает, каким образом произошла утечка ключа. За девять лет он привязал к этому аккаунту много проектов.

Понятно, что у AWS есть специальные алерты и ограничения бюджета на такой случай, вроде AWS Cost Anomaly Detection , но они появились только недавно, и не все о них знают. Вот Джонни не знал. И он говорит, что найти нужные настройки среди 200 ссылок в меню AWS не так просто.

Один подобный недосмотр, единственная ошибка может привести к смерти стартапа или небольшой компании, которая не выдержит подобного финансового удара, см. статью «Как мы случайно сожгли $72 000 за два часа в Google Cloud Platform и чуть не обанкротились» .

P. S. Хотя в данном случае после широкого резонанса через два дня компания отказалась от требования оплаты «в качестве исключения» , данная история может служить иллюстрацией для клиентов AWS, которые забывают настроить лимиты бюджета. Очень опасно привязывать к сервису банковскую карту с большим балансом, потому что деньги могут списать автоматически.)
Теги:
Хабы: