Kriminálna skupina TeamTNT

TeamTNT je názov pre skupinu zaoberajúcu sa počítačovou kriminalitou, ktorá sa špecializuje na operácie ťažby kryptomien. Hoci ich spočiatku nebolo možné odlíšiť od ostatných skupín hackerov vykonávajúcich tieto typy útokov, zdá sa, že TeamTNT rozvíja svoje operácie a teraz sa uvádza, že je schopný zbierať poverenia Amazon Web Services (AWS) od infikované servery.

Keď TeamTNT prvýkrát upútal pozornosť výskumníkov v oblasti kybernetickej bezpečnosti, zameral sa predovšetkým na systémy Docker, ktoré boli nesprávne nakonfigurované a mali API na úrovni správy bez ochrany heslom, ktoré bolo otvorené pre internet. Keď sa hackeri dostanú do siete, nasadia servery, ktoré budú vykonávať operácie DDoS a kryptomeny.

Zločinecká skupina TeamTNT sa vyvíja

Odvtedy sa však hackerom podarilo rozšíriť svoje operácie rozvetvením a pridaním inštalácií Kubernetes ako potenciálnych cieľov. Ešte dôležitejšie je, že podľa výskumníkov v oblasti kybernetickej bezpečnosti v Cado Security TeamTNT zahrnul skener, ktorý kontroluje infikované servery a zhromažďuje poverenia AWS. Skupina hackerov hľadá najmä súbory „/.aws/credentials“ a „/.aws/config“, skopíruje ich a oba súbory odošle na server Command-and-Control (C2), ktorý sa používa na útočnú kampaň. Treba poznamenať, že oba súbory sú zašifrované a ukladajú poverenia pre infraštruktúru AWS vo forme obyčajného textu.

Aj keď sa zdá, že TeamTNT ešte nezačal využívať svoj prístup k povereniam AWS, mohli by tak začať robiť kedykoľvek, pretože to pre nich predstavuje obrovskú peňažnú príležitosť. Hackeri mohli jednoducho predať zhromaždené poverenia na priame zisky alebo ich použiť na výrazné rozšírenie svojej trestnej činnosti využitím potenciálneho prístupu ku klastrom AWS EC2 a priamou inštaláciou malvéru na ťažbu kryptomien.