Вредоносный bash-скрипт в AWS Lambda скачивал майнер каждые три минуты и запускал его на 15 минут во всех регионах AWS
Неприятная история произошла с пользователем AWS по имени Джон Платт, аккаунт которого взломали майнеры — и очень быстро своровали ресурсов на сумму около $45 тыс.
Казалось бы, рядовая история. Тысячи аналогичных историй происходят с владельцами банковских карточек, реквизиты которых воруют кардеры. Во всех этих случаях процедура стандартная. По умолчанию считается, что ресурсы украдены не лично у человека, а у провайдера (банка, облачного хостинга). Соответственно, физическое лицо не несёт никаких обязательств в данном случае. Это теоретически.
В данном случае служба AWS выставила пользователю счёт за украденные ресурсы.
Джон Платт выражает сожаление , что у него нет подписки на круглосуточную поддержку пользователей по телефону. Стоимость этой услуги зависит от ежемесячного счёта. Например, для пользователя со счётом $300 она стоит всего $100 в месяц, а для клиента с таким большим счётом $45 тыс., как сейчас, выйдет уже в сумму от $2000 до $3000.
В данном случае ситуация развивалась следующим образом. Мошенник использовал сервис AWS Lambda, в котором bash-скрипт скачивал майнер каждые три минуты и запускал его на 15 минут. Во всех регионах AWS на планете (а у компании Amazon много дата-центров).
Bash-скрипт
Как видим, использовался стандартный майнер xmrig для Monero (майнинг на CPU), который скачивался с официального репозитория на Github.
В скрипте указан кошелёк майнера. Там видно, что он намайнил примерно 6 XMR, то есть около $800 по текущему курсу. Неплохой доход за день работы.
Джонни Платт не знает, каким образом произошла утечка ключа. За девять лет он привязал к этому аккаунту много проектов.
Понятно, что у AWS есть специальные алерты и ограничения бюджета на такой случай, вроде AWS Cost Anomaly Detection , но они появились только недавно, и не все о них знают. Вот Джонни не знал. И он говорит, что найти нужные настройки среди 200 ссылок в меню AWS не так просто.
Один подобный недосмотр, единственная ошибка может привести к смерти стартапа или небольшой компании, которая не выдержит подобного финансового удара, см. статью «Как мы случайно сожгли $72 000 за два часа в Google Cloud Platform и чуть не обанкротились» .
P. S. Хотя в данном случае после широкого резонанса через два дня компания отказалась от требования оплаты «в качестве исключения» , данная история может служить иллюстрацией для клиентов AWS, которые забывают настроить лимиты бюджета. Очень опасно привязывать к сервису банковскую карту с большим балансом, потому что деньги могут списать автоматически.)
Неприятная история произошла с пользователем AWS по имени Джон Платт, аккаунт которого взломали майнеры — и очень быстро своровали ресурсов на сумму около $45 тыс.
Казалось бы, рядовая история. Тысячи аналогичных историй происходят с владельцами банковских карточек, реквизиты которых воруют кардеры. Во всех этих случаях процедура стандартная. По умолчанию считается, что ресурсы украдены не лично у человека, а у провайдера (банка, облачного хостинга). Соответственно, физическое лицо не несёт никаких обязательств в данном случае. Это теоретически.
В данном случае служба AWS выставила пользователю счёт за украденные ресурсы.
Джон Платт выражает сожаление , что у него нет подписки на круглосуточную поддержку пользователей по телефону. Стоимость этой услуги зависит от ежемесячного счёта. Например, для пользователя со счётом $300 она стоит всего $100 в месяц, а для клиента с таким большим счётом $45 тыс., как сейчас, выйдет уже в сумму от $2000 до $3000.
В данном случае ситуация развивалась следующим образом. Мошенник использовал сервис AWS Lambda, в котором bash-скрипт скачивал майнер каждые три минуты и запускал его на 15 минут. Во всех регионах AWS на планете (а у компании Amazon много дата-центров).
Bash-скрипт
Как видим, использовался стандартный майнер xmrig для Monero (майнинг на CPU), который скачивался с официального репозитория на Github.
В скрипте указан кошелёк майнера. Там видно, что он намайнил примерно 6 XMR, то есть около $800 по текущему курсу. Неплохой доход за день работы.
Джонни Платт не знает, каким образом произошла утечка ключа. За девять лет он привязал к этому аккаунту много проектов.
Понятно, что у AWS есть специальные алерты и ограничения бюджета на такой случай, вроде AWS Cost Anomaly Detection , но они появились только недавно, и не все о них знают. Вот Джонни не знал. И он говорит, что найти нужные настройки среди 200 ссылок в меню AWS не так просто.
Один подобный недосмотр, единственная ошибка может привести к смерти стартапа или небольшой компании, которая не выдержит подобного финансового удара, см. статью «Как мы случайно сожгли $72 000 за два часа в Google Cloud Platform и чуть не обанкротились» .
P. S. Хотя в данном случае после широкого резонанса через два дня компания отказалась от требования оплаты «в качестве исключения» , данная история может служить иллюстрацией для клиентов AWS, которые забывают настроить лимиты бюджета. Очень опасно привязывать к сервису банковскую карту с большим балансом, потому что деньги могут списать автоматически.)