حملة كبرى لتعدين العملات الرقمية على AWS باستخدام بيانات دخول مسروقة

كشفت أمازون عن تفاصيل حملة إلكترونية نشطة ومتطورة تستهدف عملاء خدمات أمازون ويب (AWS) باستخدام بيانات اعتماد هوية وإدارة وصول (IAM) مسربة، لإنشاء عمليات تعدين خفية للعملات المشفرة على البنية السحابية. تتميز هذه الحملة باستخدام تقنيات غير مسبوقة لضمان استمرارية الهجوم وتعطيل الاستجابة للحوادث، مما يمثل تطوراً خطيراً في منهجيات الهجمات السحابية.

آلية الهجوم: من التسلسل إلى التعدين في 10 دقائق

يبدأ الهجوم متعدد المراحل عندما يستغل مهاجمون مجهولون بيانات اعتماد مستخدم IAM مسربة تتمتع بصلاحيات إدارية شبه كاملة. المرحلة الأولى هي مرحلة الاستكشاف، حيث يختبر المهاجمون البيئة المستهدفة بطريقة ذكية تخفي نشاطهم:

يقومون باستدعاء واجهة برمجة التطبيقات RunInstances مع تفعيل علم DryRun. هذا يسمح لهم بالتحقق من صلاحياتهم الفعلية وفحص حصص خدمة EC2 دون تشغيل أي مثيلات فعلية، مما يتجنب تكبد التكاليف ويقلل من البصمة الرقمية التي يمكن تعقبها.
الهدف من هذه الخطوة هو تحديد مدى ملاءمة البنية التحتية المستهدفة لنشر برنامج التعدين.
بعد التأكد من الصلاحيات والبيئة المناسبة، تنتقل الحملة بسرعة مذهلة. حيث يتم إنشاء أدوار IAM مخصصة لمجموعات التوسع التلقائي (Autoscaling Groups) وخدمة Lambda، ثم يبدأ نشر الموارد الضارة. بحسب أمازون، أصبحت برامج التعدين قيد التشغيل في غضون 10 دقائق فقط من حصول المهاجم على الوصول الأولي.

التكتيكات المتقدمة: استمرارية الهجوم وتعطيل الاستجابة

ما يميز هذه الحملة هو استخدامها لتكتيكات متطورة لضمان بقائها وتعطيل جهود الاستجابة الأمنية:

تعدين عبر خدمات متعددة: لا يقتصر الهجوم على خدمة واحدة. فقد أنشأ المهاجمون عشرات عناقيد خدمة الحاويات (ECS Clusters) – في بعض الهجمات تجاوزت 50 عنقوداً – باستخدام صورة Docker خبيثة من مستودع عام (yenik65858/secret:user) لبدء التعدين على عقد ECS Fargate. كما أنشأوا مجموعات توسع تلقائي مصممة للتوسع من 20 إلى 999 مثيل EC2 لاستغلال الحصص القصوى واستهلاك الموارد بأكبر قدر ممكن.
حماية المثيلات من الإنهاء: التكتيك الأكثر بروزاً هو استخدام فعل ModifyInstanceAttribute مع معلمة disableApiTermination مضبوطة على True. هذا الإجراء يمنع إنهاء المثيلات المصابة عبر وحدة تحكم إدارة AWS أو واجهة سطر الأوامر أو واجهات برمجة التطبيقات، مما يجبر الضحايا على إعادة تمكين خاصية الإنهاء يدوياً قبل حذف الموارد المتضررة. يوضح هذا الفهم العميق لإجراءات الاستجابة الأمنية الشائعة ونية واضحة لتعظيم مدة عمليات التعدين.
تحضير لهجمات لاحقة:شملت الحملة أيضاً إنشاء دالة Lambda يمكن استدعاؤها من قبل أي طرف، وإنشاء مستخدم IAM جديد مُرفق به سياسة AmazonSESFullAccess التي تمنح وصولاً كاملاً لخدمة البريد الإلكتروني البسيطة (SES) في AWS، مما يشير إلى نية محتملة لشن هجمات تصيد لاحقة.

التوصيات الدفاعية: تعزيز الحماية السحابية

تقدم أمازون مجموعة من التوصيات الحاسمة لتأمين البيئات السحابية ضد هذا النوع من الهجمات المتقدمة:

تعزيز إدارة الهوية والوصول: فرض سياسة الامتياز الأدنى (Least Privilege) على جميع مستخدمي IAM، واستخدام بيانات الاعتماد المؤقتة بدلاً من مفاتيح الوصول طويلة الأجل، وتفعيل المصادقة متعددة العوامل (MFA) لجميع المستخدمين.
مراقبة الأنشطة غير المعتادة: مراقبة طلبات تخصيص وحدة المعالجة المركزية غير العادية في تعريفات مهام ECS، وفحص الصور المشبوهة في مستودعات الحاويات.
تفعيل خدمات المراقبة الآلية: تمكين خدمة GuardDuty لاكتشاف التهديدات تلقائياً، واستخدام AWS CloudTrail لتسجيل جميع الأحداث عبر خدمات AWS للتدقيق والتحليل.
يؤكد التقرير أن الاستخدام المنهجي للمهاجمين لخدمات حوسبة متعددة، مقترناً بتقنيات الاستمرارية الناشئة، يمثل تقدماً كبيراً في منهجيات هجمات تعدين العملات المشفرة السحابية، مما يتطلب وعياً ودفاعات استباقية من قبل جميع المؤسسات.