To już oficjalne. Wykryto pierwsze złośliwe oprogramowanie do kopania kryptowalut, które jest również w stanie wykradać z zainfekowanych maszyn dane uwierzytelniających AWS.
Szkodliwe oprogramowanie – łączone z grupą cyberprzestępczą TeamTNT – atakuje instalacje Docker’a. Atakujący skanują Internet w poszukiwaniu systemów, które zostały nieprawidłowo skonfigurowane lub których administratorzy pozostawili dostęp do API nie zabezpieczony hasłem. Zwykle przestępcy wykorzystują API do wtargnięcia wewnątrz systemu. Następnie wdrażają serwery wewnątrz instalacji Dockera, na których uruchamiają złośliwe oprogramowanie do przeprowadzania ataków DDoS i kopanie kryptowalut.
Nic niezwykłego, prawda? Jednak grupa TeamTNT w ostatnim czasie rozszerzyła ataki również na instalacje Kubernetes. Przestępcy dodali również nową funkcję, która skanuje zainfekowane serwery w poszukiwaniu poświadczeń Amazon Web Services. Jeśli zainfekowane systemy Docker lub Kubernetes działa na infrastrukturze AWS, grupa TeamTNT skanuje maszynę w poszukiwaniu plików ~/.aws/credentials and ~/.aws/config, które następnie kopiuje i przesyła na swoje serwery.
Oba pliki nie są w żaden sposób szyfrowane. Poświadczenia oraz szczegóły konfiguracji głównego konta i infrastruktury AWS są przechowywanie w postaci zwykłego tekstu.
Na ten moment specjaliści są zdania, że atakujący nie wykorzystali jeszcze w żaden sposób wykradzionych danych. Ale nie oszukujmy się, to tylko kwestia czasu, kiedy wykonają oni kolejny krok.
