Alcuni ricercatori di sicurezza informatica hanno sviluppato il primo miner di criptovalute basato su cloud completamente non rilevabile, sfruttando il servizio di automazione Microsoft Azure senza accumulare alcun costo.
Come funziona la tecnica del miner di criptovalute che lo rende anonimo via cloud
L’azienda di cybersecurity SafeBreach ha affermato di aver scoperto tre diversi metodi per eseguire il miner di criptovalute via cloud, tra cui uno che può essere eseguito nell’ambiente di una vittima senza attirare attenzione alcuna.
“Mentre questa ricerca è significativa a causa del suo potenziale impatto sull’estrazione di criptovalute, crediamo anche che abbia gravi implicazioni per altri settori, poiché le tecniche potrebbero essere utilizzate per compiere qualsiasi compito che richieda l’esecuzione di codice su Azure“, ha dichiarato il ricercatore di sicurezza Ariel Gamrian in un rapporto.
Lo studio si è principalmente proposto di identificare un “miner di criptovalute definitivo” che offrisse un accesso illimitato a risorse di calcolo, richiedesse contemporaneamente poco o nessuna manutenzione, fosse gratuito e soprattutto non rilevabile.
Ed è proprio qui che entra in gioco Azure Automation; sviluppato da Microsoft, è un servizio di automazione basato su cloud che consente agli utenti di automatizzare la creazione, la distribuzione, il monitoraggio e la manutenzione delle risorse in Azure.
SafeBreach ha affermato di aver scoperto un difetto nel calcolatore dei prezzi di Azure che rendeva possibile eseguire un numero infinito di lavori completamente gratuiti, sebbene ciò riguardi l’ambiente dell’attaccante stesso (quindi non della vittima); Microsoft ha successivamente rilasciato una correzione per il problema.
Un metodo alternativo prevede la creazione di un test-job per l’estrazione di criptovalute, seguito dall’impostazione del suo stato come “Fallito”, e quindi la creazione di un altro test-job fittizio sfruttando il fatto che solo un test può essere eseguito contemporaneamente.
Il risultato finale di questo flusso è che cela completamente l’esecuzione del codice all’interno dell’ambiente Azure (insomma, anonimato pressoché totale con servizi che storicamente non lo sono).
Un hacker malintenzionato (cracker) potrebbe sfruttare questi metodi creando una shell inversa verso un server esterno e autenticandosi presso il punto terminale di automazione per raggiungere i propri obiettivi.
Inoltre, è stato scoperto che l’esecuzione del codice poteva essere ottenuta sfruttando la funzionalità di Azure Automation che consente agli utenti di caricare pacchetti Python personalizzati.
“Potevamo creare un pacchetto malizioso chiamato ‘pip’ e caricarlo nell’account di automazione“, ha spiegato Gamrian. “Il flusso di caricamento avrebbe sostituito il pip corrente nell’account di automazione. Dopo che il nostro pip personalizzato è stato salvato nell’account di automazione, il servizio lo utilizzava ogni volta che veniva caricato un pacchetto.”
SafeBreach ha reso disponibile anche una prova concettuale denominata CloudMiner su Github, progettata per ottenere potenza di calcolo gratuita all’interno del servizio di automazione Azure sfruttando il meccanismo di caricamento dei pacchetti Python.
Microsoft, in risposta alle divulgazioni, ha classificato il comportamento come “voluto”, il che significa che il metodo può comunque essere sfruttato senza costi.
Sebbene lo scopo della ricerca sia limitato all’abuso di Azure Automation per l’estrazione trasformando il servizio in un miner di criptovalute, l’azienda di sicurezza ha avvertito che le stesse tecniche potrebbero essere riutilizzate da altri cracker per compiere qualsiasi compito che richieda l’esecuzione di codice su Azure.
“In quanto clienti di fornitori di servizi cloud, le singole organizzazioni devono monitorare attivamente ogni singola risorsa e ogni azione compiuta all’interno del proprio ambiente“, ha dichiarato Gamrian.
“Raccomandiamo vivamente alle organizzazioni di informarsi sulle metodologie e sui flussi che i vari malintenzionati potrebbero utilizzare per creare risorse non rintracciabili e monitorare attivamente l’esecuzione di codice indicativa di tale comportamento.”
