Seiring dengan semakin populernya komputasi cloud native, risiko yang ditimbulkan oleh penjahat terhadap keamanan siber juga kian meningkat. Salah satu metode yang baru ditemukan menargetkan layanan pada platform AWS, namun belum tentu sesuai dengan apa yang Anda bayangkan.
Para peneliti dari Sysdig Threat Research Team (TRT) telah menemukan operasi cryptojacking yang dijuluki AMBERSQUID, yang tidak secara langsung menargetkan instans EC2 yang akan memicu persetujuan untuk lebih banyak sumber daya.
Sebaliknya, menurut para peneliti, serangan ini ditujukan untuk layanan yang tidak banyak digunakan, seperti AWS Amplify, AWS Fargate, dan AWS Sagemaker.
Para peneliti mengatakan: “Sifat yang tidak biasa dari layanan ini berarti bahwa mereka sering diabaikan dari sudut pandang keamanan, dan operasi AMBERSQUID dapat merugikan korban lebih dari $10.000 per hari.”
AMBERSQUID ditemukan setelah lebih dari 1,7 juta image Linux dianalisis. Pemindaian statis pada umumnya tidak menunjukkan masalah apa pun karena aktivitas jahat baru diketahui saat container dijalankan.
Kontainer asli yang memicu penyelidikan ditemukan di Docker Hub, dan banyak akun dimulai hanya dengan image kontainer dasar yang menjalankan cryptominer. Para peneliti mencatat: “Namun, mereka akhirnya beralih ke layanan khusus AWS.”
Serangan tersebut terdiri dari serangkaian skrip untuk menjalankan layanan seperti Amplify, CodeBuild, Sagemaker, dan ECS dengan tujuan menggunakan sumber daya komputasi yang ditawarkan untuk menambang mata uang kripto.
Biaya yang harus dikeluarkan bisa sangat besar, tergantung pada jumlah sumber daya yang dapat dimanfaatkan oleh penyerang. Para peneliti mengatakan: “Untuk pertama kalinya, kami menemukan penyerang menyalahgunakan AWS Amplify untuk cryptojacking.”
AWS Amplify adalah platform pengembangan yang memungkinkan pengembang membangun dan menerapkan aplikasi web dan seluler yang dapat diskalakan. Karena ini membuka kerangka kerja yang memungkinkan aplikasi berintegrasi dengan layanan lain di platform AWS, ini juga menyediakan jalan praktis bagi penyerang untuk mengakses sumber daya komputasi yang diperlukan untuk penambangan kripto.
Peneliti menduga, meski belum bisa memastikan, operasi tersebut berasal dari penyerang Indonesia karena penggunaan bahasa Indonesia pada skrip dan nama pengguna.
Penggabungan layanan-layanan yang tidak umum dalam serangan tersebut merupakan hal yang baru. Meskipun EC2 merupakan target yang sudah diketahui, para peneliti mendesak tim keamanan untuk mengingat bahwa layanan lain juga menyediakan akses meskipun tidak langsung untuk menghitung sumber daya, yang berarti bahwa deteksi ancaman harus dilakukan seluas mungkin.
Jika deteksi ancaman tidak memungkinkan, maka tingkat logging yang lebih tinggi adalah suatu keharusan.
Artikel Terkait
Mengenal OpenAI GPT-3
March 13, 2023
Registrasi Gratis Node.js Certification Environment Preview Beta
April 14, 2021
Themeum Mengakuisisi Plugin Kirki Customizer Framework
June 2, 2023
GIGABYTE AERO Bermitra Dengan ArtCenter College of Design
August 30, 2022
Malware Sign1 telah menginfeksi ribuan situs WordPress
April 12, 2024
AS siap berunding dengan Nvidia terkait penjualan GPU ke Tiongkok
January 11, 2024
Saran artikel ini dibuat oleh Kudatuli Project
Telkomsel Orbit adalah layanan internet rumah yang menggunakan modem WiFi dan paket data tanpa perlu berlangganan.