Se ha observado que un actor de amenazas con sede en Sudáfrica conocido como Automated Libra adopta técnicas cada vez más sofisticadas para llevar a cabo una campaña de piratería generalizada contra varios servicios de nube pública.
Freejacking es el acto de usar acceso gratuito o por tiempo limitado a los recursos de la nube pública, como ofertas de prueba introductorias, para realizar criptominería ilícita.
La campaña fue inicialmente denominada PurpleUrchin por investigadores del especialista en seguridad de contenedores y nube Sysdig, que la descubrió el año pasado mientras analizaba algunos contenedores compartidos públicamente y actividad sospechosa que emanaba de una cuenta del centro Docker.
En ese momento, Sysdig le dijo al sitio hermano de Computer Weekly, SearchSecurity, que su equipo de investigación no había podido establecer cuánto tiempo había estado activa la campaña. Sin embargo, el equipo de la Unidad 42 de Palo Alto Networks ha analizado desde entonces más de 250 GB de datos, incluidos datos de contenedores y registros de acceso al sistema, y cientos de indicadores de compromiso, y ahora puede arrojar más luz sobre la campaña y quienes están detrás de ella.
La Unidad 42 dijo que PurpleUrchin, que alcanzó su punto máximo de actividad en noviembre de 2022, se estableció en 2019 y anteriormente había estado muy activo durante la segunda mitad de 2021.
En la campaña, la pandilla de Automated Libra robó recursos informáticos de varias plataformas de servicio utilizando tácticas de “jugar y correr”, similares a las llamadas “cenar y correr” en un restaurante, donde explotaron los recursos en oferta. hasta que se agotaron y luego no pagaron sus facturas, que en algunos casos rondaban los $200 por cuenta.
Unit 42 descubrió que Automated Libra podía crear y usar más de 130 000 cuentas falsas en plataformas de uso limitado como GitHub, Heroku y Togglebox usando tarjetas de crédito robadas o falsas, e implementó una arquitectura que usaba la integración y entrega continua estándar de DevOps (CI/ CD) para automatizar el negocio de mantener estas cuentas y ejecutarlas para realizar actividades de criptominería a gran escala.
Entre otras cosas, pudieron eludir o resolver los CAPTCHA diseñados para eliminar cuentas falsas, aumentar la cantidad de cuentas creadas (de tres a cinco por minuto en GitHub en un punto) y usar la mayor cantidad de tiempo de CPU posible antes de que las víctimas involuntarias se dieran cuenta. .
“Automated Libra diseña su infraestructura para aprovechar al máximo las herramientas de CD/CI. Esto es cada vez más fácil de lograr con el tiempo, ya que los VSP tradicionales [virtual service providers] están diversificando sus carteras de servicios para incluir servicios relacionados con la nube”, dijeron los investigadores de Unit 42 William Gamanzo y Nathaniel Quist.
“La disponibilidad de estos servicios relacionados con la nube hace que sea más fácil para los actores de amenazas porque no tienen que mantener la infraestructura para implementar sus aplicaciones. En la mayoría de los casos, todo lo que necesitan hacer es desplegar un contenedor”.
De hecho, el uso de técnicas de CI/CD puede haber sido algo así como un golpe maestro para los piratas, ya que al crear entornos operativos altamente modulares podrían permitir que los componentes de su operación fallen, se actualicen o se terminen y reemplacen, sin afectar su entorno más amplio.
Gamanzo y Quist dijeron que identificaron más de 40 criptobilleteras individuales y siete criptomonedas o tokens utilizados en la operación. Además, los componentes en contenedores se utilizaron para automatizar el proceso de negociación de la criptomoneda recién extraída en múltiples plataformas de negociación.
De acuerdo con la investigación de Sysdig, es posible que la pandilla haya permanecido bajo el radar durante algún tiempo porque en realidad no estaban afectando a ningún usuario legítimo ni comprometiendo ninguna cuenta genuina.
Sin embargo, sus acciones podrían finalmente repercutir en los usuarios genuinos si los proveedores de servicios endurecen las reglas sobre los niveles de servicio gratuitos o de prueba, o aumentan sus tarifas de suscripción. Sysdig considera que cada cuenta gratuita de GitHub le cuesta a GitHub $ 15 por mes, por lo que el costo para los proveedores de la nube probablemente sea significativo dado que Automated Libra ha podido escalar su operación tan bien.