Les chercheurs en cybersécurité de Sysdig ont récemment dévoilé une nouvelle campagne de cryptojacking ciblant des services peu communs d’Amazon Web Services (AWS). Le cryptojacking est une forme de cyberattaque où l’acteur de la menace installe secrètement un mineur de cryptomonnaie sur un point de terminaison cible, laissant à la victime une facture d’électricité et de données gonflée et un appareil quasiment inutilisable.
Les services AWS ciblés dans cette opération incluent AWS Amplify, AWS Fargate et Amazon SageMaker. Cette campagne, surnommée AMBERSQUID, a pu exploiter les services cloud sans déclencher l’exigence d’approbation d’AWS pour plus de ressources, selon Alessandro Brucato, chercheur en sécurité chez Sysdig.
Cibler plusieurs services pose aussi d’autres défis, comme la réponse aux incidents. Il est en effet nécessaire de trouver et d’éliminer tous les mineurs dans chaque service exploité.
Après une enquête plus approfondie, il semble que les attaquants soient très probablement d’origine indonésienne. Grâce à l’analyse des données de blockchain, les chercheurs estiment que les attaquants ont généré au moins 18 000 $ (environ 15 200 €) de profits. Cependant, ils estiment que AMBERSQUID pourrait coûter plus de 10 000 $ (environ 8 500 €) par jour, si elle était étendue à toutes les régions AWS.
Le logiciel de cryptojacking le plus utilisé est XMRig, qui génère un token appelé Monero, ou XMR. Ce token met l’accent sur la confidentialité, certains affirmant même qu’il est totalement intraçable.