Аккаунт AWS взломали для майнинга, а владелец получил счёт на $45 000
Вредоносный bash-скрипт в AWS Lambda скачивал майнер каждые три минуты и запускал его на 15 минут во всех регионах AWS
Неприятная история произошла с пользователем AWS по имени Джон Платт, аккаунт которого взломали майнеры — и очень быстро своровали ресурсов на сумму около $45 тыс.
Казалось бы, рядовая история. Тысячи аналогичных историй происходят с владельцами банковских карточек, реквизиты которых воруют кардеры. Во всех этих случаях процедура стандартная. По умолчанию считается, что ресурсы украдены не лично у человека, а у провайдера (банка, облачного хостинга). Соответственно, физическое лицо не несёт никаких обязательств в данном случае. Это теоретически.
В данном случае служба AWS выставила пользователю счёт за украденные ресурсы.
Джон Платт выражает сожаление, что у него нет подписки на круглосуточную поддержку пользователей по телефону. Стоимость этой услуги зависит от ежемесячного счёта. Например, для пользователя со счётом $300 она стоит всего $100 в месяц, а для клиента с таким большим счётом $45 тыс., как сейчас, выйдет уже в сумму от $2000 до $3000.
В данном случае ситуация развивалась следующим образом. Мошенник использовал сервис AWS Lambda, в котором bash-скрипт скачивал майнер каждые три минуты и запускал его на 15 минут. Во всех регионах AWS на планете (а у компании Amazon много дата-центров).
Bash-скрипт
Как видим, использовался стандартный майнер xmrig для Monero (майнинг на CPU), который скачивался с официального репозитория на Github.
В скрипте указан кошелёк майнера. Там видно, что он намайнил примерно 6 XMR, то есть около $800 по текущему курсу. Неплохой доход за день работы.
Джонни Платт не знает, каким образом произошла утечка ключа. За девять лет он привязал к этому аккаунту много проектов.
Понятно, что у AWS есть специальные алерты и ограничения бюджета на такой случай, вроде AWS Cost Anomaly Detection, но они появились только недавно, и не все о них знают. Вот Джонни не знал. И он говорит, что найти нужные настройки среди 200 ссылок в меню AWS не так просто.
Один подобный недосмотр, единственная ошибка может привести к смерти стартапа или небольшой компании, которая не выдержит подобного финансового удара, см. статью «Как мы случайно сожгли $72 000 за два часа в Google Cloud Platform и чуть не обанкротились».
P.S. Хотя в данном случае после широкого резонанса через два дня компания отказалась от требования оплаты «в качестве исключения», данная история может служить иллюстрацией для клиентов AWS, которые забывают настроить лимиты бюджета. Очень опасно привязывать к сервису банковскую карту с большим балансом, потому что деньги могут списать автоматически.
