บริษัทรักษาความปลอดภัยทางไซเบอร์กล่าวเมื่อวันศุกร์ว่า ได้ค้นพบมัลแวร์การขุด Monero ที่ซ่อนอยู่ใน virtualized instance บน Amazon Web Services (AWS) community marketplace
ช่องโหว่ที่ค้นพบใหม่นี้เผยแพร่โดย Mitiga ที่ค้นพบ Code อันตรายใน Amazon Machine Instance (AMI) ที่มีอยู่ใน AWS Marketplace ซึ่งทาง AWS Marketplace จะอนุญาตให้ขายและนำเสนอ virtualized services และแอปพลิเคชันหลายประเภท รวมถึงระบบปฏิบัติการ
marketplace นั้นมีผู้ให้บริการที่เชื่อถือได้ ซึ่งได้รับการรับรองจาก AWS แต่ผู้ใช้ AWS ทุกคนสามารถสร้าง AMI และเปิดเผยต่อสาธารณะสำหรับผู้ที่ใช้บริการได้เช่นกัน โดยเป็นหนึ่งในข้อเสนอของชุมชนที่ Mitiga กล่าวว่าได้ค้นพบโค้ดที่เป็นอันตราย
“ในการมีส่วนร่วมของลูกค้ากับสถาบันการเงินเมื่อเร็ว ๆ นี้ เราได้รับแจ้งให้ประเมินความยืดหยุ่นของระบบคลาวด์ของสภาพแวดล้อมเพื่อเตรียมพร้อมรับมือกับเหตุการณ์ที่อาจเกิดขึ้นได้ ในฐานะส่วนหนึ่งของการประเมินสภาพแวดล้อม AWS ขององค์กรจากสถานการณ์การโจมตีของธนาคาร เราค้นพบการขุดคริปโตที่ใช้งานอยู่บนเซิร์ฟเวอร์ EC2 เครื่องหนึ่งของบริษัท “Mitiga อธิบายในประกาศ “ซึ่งนี่เป็นวิธีการหาประโยชน์ที่ไม่ถูกต้อง – แต่มันอยู่ที่นั่นตลอดเวลาโดยได้รับความอนุเคราะห์จาก AMI ที่ใช้ในการสร้าง EC2 instance ที่ทำงานจาก get-go”
ตามภาพหน้าจอนั้น AMI ซึ่งเป็นของ Windows Server 2008 มีโค้ดสำหรับ NsCpuCNMiner64 ซึ่งเป็นมัลแวร์ประเภทโทรจันที่เป็นที่รู้จักซึ่งแอบใช้พลังประมวลผลของคอมพิวเตอร์ในการขุดเหรียญ
Mitiga ได้ติดต่อกับ Amazon แล้วเกี่ยวกับปัญหานี้ โดยใน on-site documentation จาก AWS นั้นมีการตั้งข้อสังเกตว่า การใช้ AMI ของชุมชนดังกล่าวมีความเสี่ยงเอง
“Amazon ไม่สามารถรับรองความสมบูรณ์หรือความปลอดภัยของ AMI ที่ผู้ใช้ Amazon EC2 รายอื่นแชร์ได้ ดังนั้นคุณควรปฏิบัติต่อ AMI ที่ใช้ร่วมกันเหมือนกับที่คุณทำกับ foreign code ที่คุณอาจพิจารณาปรับใช้ใน data center ของคุณเอง และดำเนินการตรวจสอบสถานะที่เหมาะสม เราขอแนะนำให้คุณใช้ AMI จากแหล่งที่เชื่อถือได้เท่านั้น”
Ofer Maor ผู้ร่วมก่อตั้งและ CTO ของ Mitiga กล่าวว่า AMI เป็นเพียงตัวอย่างเดียวที่ค้นพบในเวลานี้ “ชุมชน AMI มีเป็นพันเป็นหมื่นและไม่มีรายละเอียดเกี่ยวกับจำนวนการดาวน์โหลด ใครเป็นคนเผยแพร่ ฯลฯ คุณเห็นไหมว่าสิ่งนี้มีปัญหาแค่ไหน”
มีรายงานเหตุการณ์ที่เรียกว่า “cryptojacking” มาหลายปีแล้ว เพื่อนำไปขุดสกุลเงินดิจิทัลอย่าง Monero – ตัวอย่างเช่นเมื่อปลายเดือนที่แล้ว กลุ่มนักวิจัยของ Cisco Talos เปิดเผยรายละเอียดของ cryptojacking botnetที่ค้นพบในเดือนมีนาคม โดยมีเหยื่อทั่วอเมริกาเหนือเอเชียและอเมริกาใต้
อ้างอิง : LINK
