Главные новости » Эксклюзив » Майнеры в облаке: как хакеры годами добывают криптовалюту за чужой счёт

10-02-2025, 17:58

Майнеры в облаке: как хакеры годами добывают криптовалюту за чужой счёт

Согласно результатам исследования, атака базировалась на загрузке и запуске вредоносных бинарных файлов, использующих CPU для майнинга криптовалют. Изначально злоумышленники работали с TideCoin, но позднее переключились на VerusCoin. В ходе всей кампании было задействовано семь кошельков, на которые поступило криптовалюты на сумму около 6500 долларов. Тем не менее, учитывая затраты на облачные ресурсы, общий ущерб для сервисов оценивается в десятки тысяч долларов.

Хакеры применяли различные методы, чтобы избежать обнаружения, изменяя подходы к выполнению своих скриптов. В ходе анализа были выявлены не менее восьми различных способов запуска вредоносных программ, которые загружались через CI/CD-системы и выполнялись на серверах облачных провайдеров. Наибольшее количество поддельных учетных записей было зарегистрировано с IP-адресов Microsoft Cloud (более 2400 случаев), а также от Telkom Indonesia, ProtonVPN и Datacamp.

Исследователи из Netlify отметили, что злоумышленники использовали массовую регистрацию аккаунтов, применяя методы «Plus Addressing» и «Subdomain Addressing». В общей сложности было выявлено более 3200 таких адресов, но подавляющее большинство из них создавалось на шести частных доменах, зарегистрированных в 2023-2024 годах.

Технический анализ показал, что атака проводилась через платформы Bitbucket и GitLab, на которых размещались скрипты для загрузки и исполнения вредоносного ПО. В качестве серверов для майнинга использовались IP-адреса из сетей Alibaba Cloud, DigitalOcean и других. Всего было установлено четыре IP-адреса, которые принимали участие в атаке.

Эксперты подчеркивают, что данная кампания началась ещё в 2021 году, но в последние месяцы её активность значительно возросла. Хакеры целенаправленно атаковали SaaS-сектор, используя бесплатные облачные ресурсы. Специалистам организаций рекомендуется усилить мониторинг облачной активности, проводить анализ исходящего трафика и блокировать подозрительные IP-адреса, связанные с этой схемой.