Cryptojacking Tidak Hanya Incar EC2, Lebih Dari Itu

Seiring dengan semakin populernya komputasi cloud native, risiko yang ditimbulkan oleh penjahat terhadap keamanan siber juga kian meningkat. Salah satu metode yang baru ditemukan menargetkan layanan pada platform AWS, namun belum tentu sesuai dengan apa yang Anda bayangkan.

Para peneliti dari Sysdig Threat Research Team (TRT) telah menemukan operasi cryptojacking yang dijuluki “AMBERSQUID,” yang tidak secara langsung menargetkan instans EC2 yang akan memicu persetujuan untuk lebih banyak sumber daya.

Sebaliknya, menurut para peneliti, serangan ini ditujukan untuk layanan yang tidak banyak digunakan, seperti AWS Amplify, AWS Fargate, dan AWS Sagemaker.

Para peneliti mengatakan: “Sifat yang tidak biasa dari layanan ini berarti bahwa mereka sering diabaikan dari sudut pandang keamanan, dan operasi AMBERSQUID dapat merugikan korban lebih dari $10.000 per hari.”

AMBERSQUID ditemukan setelah lebih dari 1,7 juta image Linux dianalisis. Pemindaian statis pada umumnya tidak menunjukkan masalah apa pun karena aktivitas jahat baru diketahui saat container dijalankan.

Kontainer asli yang memicu penyelidikan ditemukan di Docker Hub, dan banyak akun dimulai hanya dengan image kontainer dasar yang menjalankan cryptominer. Para peneliti mencatat: “Namun, mereka akhirnya beralih ke layanan khusus AWS.”

Serangan tersebut terdiri dari serangkaian skrip untuk menjalankan layanan seperti Amplify, CodeBuild, Sagemaker, dan ECS dengan tujuan menggunakan sumber daya komputasi yang ditawarkan untuk menambang mata uang kripto.

Biaya yang harus dikeluarkan bisa sangat besar, tergantung pada jumlah sumber daya yang dapat dimanfaatkan oleh penyerang. Para peneliti mengatakan: “Untuk pertama kalinya, kami menemukan penyerang menyalahgunakan AWS Amplify untuk cryptojacking.”

AWS Amplify adalah platform pengembangan yang memungkinkan pengembang membangun dan menerapkan aplikasi web dan seluler yang dapat diskalakan. Karena ini membuka kerangka kerja yang memungkinkan aplikasi berintegrasi dengan layanan lain di platform AWS, ini juga menyediakan jalan praktis bagi penyerang untuk mengakses sumber daya komputasi yang diperlukan untuk penambangan kripto.

Peneliti menduga, meski belum bisa memastikan, operasi tersebut berasal dari penyerang Indonesia karena penggunaan bahasa Indonesia pada skrip dan nama pengguna.

Penggabungan layanan-layanan yang tidak umum dalam serangan tersebut merupakan hal yang baru. Meskipun EC2 merupakan target yang sudah diketahui, para peneliti mendesak tim keamanan untuk mengingat bahwa layanan lain juga menyediakan akses – meskipun tidak langsung – untuk menghitung sumber daya, yang berarti bahwa deteksi ancaman harus dilakukan seluas mungkin.

Jika deteksi ancaman tidak memungkinkan, maka tingkat logging yang lebih tinggi adalah suatu keharusan.