lun. Nov 28th, 2022

Dans le cadre de la campagne « Purple Urchin », les attaquants ont pu contourner intelligemment les mesures préventives prises par les fournisseurs de cloud contre le cryptomining.

La campagne de crypto-minage Purple Urchin vise l’accès gratuit aux tests des fournisseurs de cloud. En raison d’un haut degré d’automatisation, les attaquants ont stratégiquement utilisé la capacité de calcul gratuite pour exploiter les crypto-monnaies. En plus de GitHub, Heroku et Buddy sont également concernés.

Crypto mining gratuit dans le cloud : Une offre très alléchante

Les chercheurs en sécurité de Sysdig ont découvert une nouvelle campagne de cryptominage qui abuse de l’accès gratuit aux tests des fournisseurs de cloud pour extraire des crypto-monnaies sur leur infrastructure de serveur. Les cybercriminels ont utilisé 30 accès de GitHub, 2000 de Heroku et 900 autres de Buddy. Bien que les comptes utilisés aient été bloqués à maintes reprises, les escrocs savaient comment contourner cela.

En tant que membre de « Oursin violet” (scumbag violet), les attaquants ont réussi à automatiser la création de compte dans les environnements de test. Selon un rapport de Heise, les fournisseurs de cloud empêchent généralement un tel processus avec des CAPTCHA ou en demandant des données de carte de crédit valides. De plus, les testeurs disposent de ressources très limitées pour prévenir les abus.

Est-ce juste un essai ou est-ce déjà une attaque ?

Étant donné que les attaquants recherchent manifestement de l’argent, l’automatisation est assez évidente. Parce que quand obtenez-vous jamais une capacité de calcul gratuite pour l’extraction de crypto ?! Finalement, les escrocs ont maintenu le contrôle sur les nombreuses instances minières via un serveur central de commande et de contrôle (C2), selon le rapport de Sysdig.

Voir aussi  Jurassic Pack#17 – Le Cartel (Éditorial)

Jusqu’à présent, les attaquants n’ont extrait que des crypto-monnaies avec de faibles marges bénéficiaires. Il est donc concevable qu’il ne s’agisse que d’un essai afin que l’infrastructure mise en place puisse être utilisée encore plus avantageusement par la suite. Les chercheurs spéculent également sur une éventuelle attaque de la blockchain sous-jacente, les capacités occupées fournissant plus de 51% de la puissance de calcul pour le cryptomining. En conséquence, les cybercriminels pourraient valider toutes les transactions et voler les portefeuilles eux-mêmes »faire plein“.

Cryptomining : les comptes abusés vont et viennent

Afin de ne pas attirer l’attention, les escrocs ont apparemment procédé avec beaucoup de prudence.

« Sur les plus de 130 images, seules deux à six images sont mises à jour à la fois, la plupart d’entre elles n’ayant pas été mises à jour depuis la création du compte en avril 2022.

Cette méthode de mise à jour par lots pourrait empêcher Docker Hub de bloquer ou d’analyser leur activité. »

sysdig

Les attaquants ne semblent utiliser les référentiels GitHub qu’un jour ou deux après leur création. Certains d’entre eux qui ont généré des actions GitHub auraient même disparu. Les chercheurs ont conclu que GitHub supprimait les comptes ou que les escrocs les supprimaient eux-mêmes après avoir épuisé leur allocation gratuite mensuelle de 2 000 minutes (33 heures) d’exécution.

Dans leur rapport, les chercheurs répertorient tous les comptes GitHub découverts, les portefeuilles et les adresses IP des serveurs C2 utilisés dans l’opération de cryptominage. Il est simplement regrettable que de telles actions entraînent des coûts beaucoup plus élevés pour les fournisseurs de cloud que les attaquants n’encourent réellement. Un vol de banque serait probablement un moyen plus efficace d’obtenir de l’argent.

Voir aussi  OpIran : Anonymous pirate le gouvernement iranien