Майнеры в облаке: как хакеры годами добывают криптовалюту за чужой счёт

Netlify раскрывает многомиллионную схему злоупотребления вычислительными ресурсами.


2cfyy3r5je6dhegfljnl4dfdr0mbyltb.jpg


Специалисты Netlify выявили масштабную кампанию по злоупотреблению облачной инфраструктурой для скрытого майнинга криптовалют. Злоупотребление длилось с сентября по ноябрь 2024 года и затронуло множество облачных сервисов, включая Microsoft, ProtonVPN и другие провайдеры. Злоумышленники использовали тысячи поддельных аккаунтов, распределённых по сотням доменов и IP-адресов, для получения бесплатных вычислительных мощностей.

По данным исследователей, атака основывалась на загрузке и выполнении вредоносных майнинговых бинарных файлов, работающих с криптовалютами, ориентированными на майнинг с помощью CPU. Первоначально злоумышленники добывали TideCoin, затем переключились на VerusCoin. За все время кампании было использовано семь кошельков, на которые переведено криптовалюты на сумму около 6500 долларов. Однако с учётом затрат на облачные мощности ущерб для сервисов оценивается в десятки тысяч долларов.

Хакеры активно использовали методы обхода обнаружения, меняя стратегии выполнения кода. Всего выявлено не менее восьми вариаций исполнения вредоносных скриптов, которые загружались через CI/CD-инструменты и выполнялись с серверов облачных провайдеров. Наибольшее количество вредоносных учётных записей было зарегистрировано с IP-адресов Microsoft Cloud (более 2400 случаев), а также Telkom Indonesia, ProtonVPN и Datacamp.

Специалисты Netlify выяснили, что злоумышленники применяли тактику массовой регистрации аккаунтов с использованием шаблона email-адресов, в котором использовались техники «Plus Addressing» и «Subdomain Addressing». Всего было обнаружено более 3200 таких адресов, однако основной массив создавался на шести частных доменах, зарегистрированных в 2023-2024 годах.

Технический анализ показал, что атака велась через Bitbucket и GitLab, где размещались скрипты для загрузки и выполнения вредоносного ПО. При этом в качестве серверов для майнинга использовались адреса в сетях Alibaba Cloud, DigitalOcean и других. Всего обнаружено четыре IP-адреса, участвовавших в атаке.

Эксперты Netlify подчёркивают, что данная кампания началась ещё в 2021 году, но в последние месяцы резко активизировалась. Хакеры явно нацеливались на SaaS -индустрию, пользуясь бесплатными облачными ресурсами. Организациям рекомендуется усилить мониторинг активности в облаке, анализировать исходящий трафик и блокировать подозрительные IP-адреса, связанные с этой кампанией.