I cyber-criminali hanno trovato il modo di convertire un servizio legittimo del Los Angeles Times in un sistema per minare Monero, un business illegale che in definitiva non ha fruttato molto guadagno ma ha confermato ancora una volta lo stato a dir poco imbarazzante della sicurezza sul cloud computing.
L’obiettivo dei criminali questa volta è stato The Homicide Report , mappa interattiva dei casi di cronaca nera cittadina approntata dal quotidiano statunitense, che ignoti hanno compromesso nell’ennesimo caso di cryptojacking a mezzo cloud.
A essere compromesso in effetti non è stato il sito del LA Times , quanto piuttosto la porzione di server virtuali usati dal servizio e ospitati su Amazon AWS: i criminali hanno installato uno script Coinhive sui server compromessi, mentre gli utenti che hanno visitato The Homicide Report hanno partecipato al mining di Monero nel periodo in cui l’infezione è risultata attiva.
Questa volta il guadagno accumulato dai criminali non è stato granché ($24), e la responsabilità va come al solito attribuita esclusivamente a chi avrebbe dovuto occuparsi della sicurezza di AWS: i server virtuali erano “scrivibili” da chiunque, e un visitatore aveva già lasciato un messaggio (naturalmente ignorato) in cui si invitava a sistemare la faccenda prima dell’arrivo di qualcuno con intenzioni malevole.
Il cryptojacking di The Homicide Report – poi risolto dal LA Times – ricorda il caso recente di Tesla, dove una console Kubernetes non protetta da password e ospitata su AWS ha portato all’installazione di uno script mina-Monero e alla potenziale compromissione della telemetria delle auto elettriche prodotte dal marchio.
Per i ricercatori il nuovo caso ha in realtà qualcosa in comune con quello che a metà febbraio ha coinvolto migliaia di siti governativi di USA, UK e altri, visto che le chiavi di utilizzo di Coinhive – poi sospese dalla società produttrice dello script – sono le stesse usate su The Homicide Report.
Alfonso Maruccia