Хакеры похитили учетные записи виртуальных серверов, размещенных на Amazon
Учетные записи пользователей виртуальных серверов, расположенных в публичном облаке Amazon Web Services (AWS), были похищены группой хакеров TeamTNT, заявили в компании по кибербезопасности Cado Security, 17 августа сообщает портал ИТ-новостей ZDNet.
Изначально действия TeamTNT были обнаружены еще в апреле 2020 года компанией Trend Micro. Группа TeamTNT заражала взломанные сервера троянской программой, которой порождала распределенный трафик с целью дальнейших атак типа отказ в обслуживании (DDoS) и занималась добычей криптовалюты.
Хакерская группа сканировала Интернет на предмет выявления неправильно настроенных систем управления контейнерами Docker и через них внедряла свою троянскую программу.
В новом отчете от Cado сообщается, что TeamTNT доработали свой троян. Теперь вредоносное программное обеспечение может быть внедрено через некорректно настроенную систему виртуализации Kubernetes.
Кроме того, троян от TeamTNT научился воровать файлы с данными учетных записей и конфигурации серверов на базе AWS. Эти данные находятся в файлах ~/.aws/credentials и ~/.aws/config соответственно. Файлы не зашифрованы.
Зараженные сервера сканируются трояном на предмет выявления учетных данных AWS, отметили в Cado. Вместе с тем, считают специалисты, злоумышленники еще не использовали украденные данные.
В Cado отследили лишь несколько криптокошельков злоумышленников. Добыча криптовалюты взломанными серверами принесла хакерам пока лишь $300. Однако, украденные данные достаточно мощных серверов на AWS могут быть либо использованы также для добычи криптовалюты, либо для продажи на черном рынке.