Vorbeugende Maßnahmen der Cloud-Anbieter gegen Kryptomining wussten Angreifer im Rahmen der Kampagne "Purple Urchin" geschickt zu umgehen.
Die Kryptomining-Kampagne Purple Urchin hat es auf kostenlose Testzugänge von Cloud-Anbietern abgesehen. Durch einen hohen Grad der Automatisierung nutzten Angreifer die freie Rechenkapazität strategisch aus, um Kryptowährungen zu schürfen. Neben GitHub sind auch Heroku und Buddy betroffen.
Kostenloses Kryptomining in der Cloud: Ein sehr verlockendes Angebot
Sicherheitsforscher von Sysdig haben eine neue Kryptomining-Kampagne aufgedeckt, die kostenlose Test-Zugänge von Cloud-Anbietern missbraucht, um auf deren Server-Infrastruktur Kryptowährungen zu schürfen. Dabei nutzten die Cyberkriminellen 30 Zugänge von GitHub, 2000 von Heroku und weitere 900 von Buddy. Zwar kam es immer wieder zu Sperrungen der eingesetzten Konten, doch wussten die Gauner diese zu umgehen.
Im Rahmen der „Purple Urchin“ (purpurner Schmutzfink) genannten Kryptomining-Operation haben es die Angreifer geschafft, die Account-Erstellung innerhalb der Testumgebungen zu automatisieren. Laut einem Bericht von Heise unterbinden die Cloud-Anbieter so einen Vorgang normalerweise durch CAPTCHAs oder durch Abfrage gültiger Kreditkartendaten. Außerdem stehen Testern nur sehr begrenzte Ressourcen zur Verfügung, um einem Missbrauch vorzubeugen.
Alles nur ein Testlauf oder doch schon ein Angriff?
Da es die Angreifer ganz offensichtlich auf Geld abgesehen haben, ist eine Automatisierung ziemlich naheliegend. Denn wann bekommt man schon mal kostenlose Rechenkapazitäten für Kryptomining spendiert?! Durch einen zentralen Command-and-Control-Server (C2) behielten die Gauner schließlich die Kontrolle über die vielen schürfenden Instanzen, wie aus dem Bericht von Sysdig hervorgeht.
Bisher schürften die Angreifer nur Kryptowährungen mit geringen Gewinnmargen. Daher ist denkbar, dass dies lediglich ein Testlauf war, um die aufgebaute Infrastruktur später noch gewinnbringender einzusetzen. Ebenso spekulieren die Forscher über einen möglichen Angriff auf die zugrunde liegende Blockchain, indem die eingenommenen Kapazitäten mehr als 51 % der Rechenleistung für das Kryptomining bereitstellen. Infolgedessen könnten die Cyberkriminellen beliebige Transaktionen validieren und sich selbst die Wallets „vollmachen„.
Kryptomining: Missbrauchte Konten kommen und gehen
Um nicht aufzufallen, gingen die Gauner offenbar sehr behutsam vor.
„Von den mehr als 130 Abbildern werden jeweils nur zwei bis sechs Abbilder zur selben Zeit aktualisiert, wobei die meisten von ihnen seit der Erstellung des Kontos im April 2022 nicht mehr aktualisiert wurden.
Diese Batch-Update-Methode könnte verhindern, dass Docker Hub ihre Aktivitäten blockiert oder scannt.“
Sysdig
Die GitHub-Repositorys nutzten die Angreifer scheinbar immer nur ein bis zwei Tage nach ihrer Erstellung. Einige von ihnen, die GitHub-Actions erzeugten, sollen sogar wieder verschwunden sein. Die Forscher schlussfolgerten daraus, dass GitHub die Accounts entweder gelöscht hat oder dass die Gauner die Konten selbst wieder entfernten, nachdem diese ihr monatliches Freikontingent von 2.000 Minuten (33 Stunden) Laufzeit ausgeschöpft hatten.
In ihrem Bericht führen die Forscher sämtliche entdeckte GitHub-Konten, Wallets sowie IP-Adressen der im Rahmen der Kryptomining-Operation verwendeten C2-Server auf. Traurig nur, dass den Cloud-Anbietern durch solche Aktionen weitaus mehr Kosten entstehen, als die Angreifer damit überhaupt einnehmen. Ein Bankraub wäre vermutlich ein effizienterer Weg, um an Geld zu kommen.
