Investigadores en ciberseguridad han desarrollado el primer minero de criptomonedas basado en la nube totalmente indetectable, aprovechando el servicio de automatización de Microsoft Azure sin generar costos.
La empresa de ciberseguridad SafeBreach afirmó haber descubierto tres métodos para ejecutar el minero, incluyendo uno que puede llevarse a cabo en el entorno de la víctima sin llamar la atención.
“Aunque esta investigación es significativa por su impacto potencial en la minería de criptomonedas, creemos que tiene serias implicaciones para otras áreas, ya que las técnicas podrían usarse para cualquier tarea que requiera ejecución de código en Azure”, dijo el investigador de seguridad Ariel Gamrian en un informe compartido con The Hacker News.
El estudio se propuso identificar un “minero de cripto definitivo” que ofrezca acceso ilimitado a recursos computacionales, requiera poco o ningún mantenimiento, sea gratuito e indetectable.
Es aquí donde entra Azure Automation. Desarrollado por Microsoft, es un servicio de automatización en la nube que permite a los usuarios automatizar la creación, implementación, monitoreo y mantenimiento de recursos en Azure.
SafeBreach encontró un error en la calculadora de precios de Azure que permitía ejecutar un número infinito de trabajos de forma gratuita, aunque se relaciona con el entorno del atacante. Microsoft emitió un parche para el problema.
Un método alternativo implica crear un trabajo de prueba para la minería, establecer su estado como “Fallido” y luego crear otro trabajo de prueba falso aprovechando el hecho de que solo puede ejecutarse una prueba a la vez.
El resultado final de este flujo es que oculta completamente la ejecución de código dentro del entorno de Azure.
Un actor de amenazas podría aprovechar estos métodos estableciendo un shell inverso hacia un servidor externo y autenticándose en el punto final de automatización para lograr sus objetivos.
Además, se descubrió que la ejecución de código podría lograrse aprovechando la función de Azure Automation que permite a los usuarios cargar paquetes Python personalizados.
“Podríamos crear un paquete malicioso llamado ‘pip’ y cargarlo en la cuenta de automatización”, explicó Gamrian.
“El flujo de carga reemplazaría el pip actual en la cuenta de automatización. Después de que nuestro pip personalizado se guardara en la cuenta de automatización, el servicio lo usaría cada vez que se cargara un paquete”.
SafeBreach también ha puesto a disposición un prototipo llamado CloudMiner diseñado para obtener poder de cómputo gratuito dentro del servicio de automatización de Azure mediante el mecanismo de carga de paquetes Python.
Microsoft, en respuesta a las revelaciones, ha caracterizado el comportamiento como “por diseño”, lo que significa que el método aún puede explotarse sin incurrir en cargos.
Aunque el alcance de la investigación se limita al abuso de Azure Automation para la minería de criptomonedas, la firma de ciberseguridad advirtió que las mismas técnicas podrían ser reutilizadas por actores de amenazas para realizar cualquier tarea que requiera ejecución de código en Azure.
“Como clientes de proveedores de servicios en la nube, las organizaciones individuales deben monitorear de manera proactiva cada recurso y cada acción realizada dentro de su entorno”, dijo Gamrian.
“Recomendamos encarecidamente que las organizaciones se eduquen sobre los métodos y flujos que los actores maliciosos pueden utilizar para crear recursos indetectables y monitorear proactivamente la ejecución de código indicativa de tal comportamiento”.
