Mitiga’daki araştırmacılar Cuma günü bir blog gönderisinde, doğrulanmamış bir geliştirici tarafından verilen ve bir Windows 2008 sanal sunucusunda çalışan AWS AMI’nin Monero madencilik komut dosyasıyla enfekte olduğu ortaya çıktı. Kötü amaçlı yazılım, AMI’yi çalıştıran herhangi bir cihazda, arka planda Monero madenciliği yapmak için cihazın işlem gücünü kullanıyor. Bu kötü amaçlı yazılım, kripto dünyasında git gide daha çok yaygın hale gelmekte.
Blog yazısında, “Mitiga’nın güvenlik araştırma ekibi, tanımlanamayan bir kripto madencilik programını çalıştıran, kötü amaçlı kod içeren bir AWS AMI’sini hedef aldı. Bunun münferit bir olaydan ziyade sürekli bir olay haline gelmesinden endişe duyuyoruz”. dendi.
Monero AMI ile Buluştu!
İşletmeler ve diğer kuruluşlar, popüler programların ve hizmetlerin “EC2” kısmını çalıştırmak için Amazon Web Hizmetlerini kullanır. Sanal makine olarak da bilinen bu EC2’ler, üçüncü taraflarca geliştirilir ve Amazon Makine Kurulumu çerçevesinde dağıtılır. işletmeler, iş operasyonları için bilgi işlem gücü maliyetlerini düşürmek amacıyla bu hizmetlerden yararlanmakta. AWS kullanıcıları, bu hizmetleri Amazon tarafından doğrulanmış satıcılar olan Amazon Marketplace AMI’lerinden veya doğrulanmamış topluluk AMI’lerinden temin edebilir.
Mitiga, bir finansal hizmet şirketi için güvenlik denetimi yaparken, bir Windows 2008 sunucusunda bahsi geçen komut dosyasını keşfetti. Mitiga, analizinde AMI’nin yalnızca cihazlara madencilik yazılımını bulaştırmak amacıyla oluşturulduğunu tespit etti. Çünkü komut dosyası AMI’nin koduna ilk günden entegre edilmiş.
Siber güvenlik firması, AMI’yi incelediği cihazın dışında kaç tane cihaza erişim sağlandığından pek emin değil.
Ekip, “Aklımıza ilk gelen soru,Amazon’un bu duruma nasıl izin verdiği. Bu soru kesinlikle AWS’nin iletişim ekibine sorulmalı.” dedi.
Konu ile alakalı olarak AWS’ye sorular yönetildi, lakin AWS tarafından hiçbir şekilde cevap alınamadı.
Mitiga’nın başlıca endişelendiği konu, kötü amaçlı yazılımın doğrulanmamış AMI’lerde bulunan bir hata kodu olması. Firma yaptığı açıklamalarda, Amazon’un AWS kullanımına dair şeffaf veri sağlayamaması bu endişeyi daha da arttırıyor.
AWS kullanımının bu denli yaygın olduğu bir durumda, bu yaşanan olayın ne kadar geniş çaplı olduğunu kestiremiyoruz. Ancak potansiyel riskin, Topluluk AMI’lerini kullanan tüm AWS müşterilerine bir güvenlik danışmanlığı yapılacak kadar yüksek olduğuna inanıyoruz.