Проблемы поставщиков CI
Издание The Record сообщает, что уже несколько месяцев майнеры злоупотребляют бесплатными аккаунтами платформ для облачных вычислений и используют их ресурсы для добычи криптовалют. Так, злоумышленники регистрируют новые учетные записи на выбранных платформах (бесплатный уровень) и запускают приложения для майнинга в инфраструктуре провайдера.
После того, как пробный или бесплатный период заканчивается, майнеры регистрируют новую учетную запись и повторяют все с начала.
Впервые о подобных злоупотреблениях стало известно в прошлом месяце, когда выяснилось, что майнеры создают огромную нагрузку на инфраструктуру GitHub и злоупотребляют CI/CD функцией GitHub Actions. С тех пор аналогичным атакам стали подвергаться GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut, Okteto и так далее.
Большинство таких атак затрагивают компании, предоставляющие услуги непрерывной интеграции (Continuous Integration, CI). Хакеры поняли, что могут злоупотреблять этим, добавляя собственный код и заставляя виртуальную CI-машину добывать криптовалюту, пока все это не будет отключено облачным провайдером. Так, после GitHub аналогичное проблемы наблюдались у Microsoft Azure, LayerCI, TravisCI, Sourcehut, CloudBees CodeShip и CircleCI.
«Наша команда оказалась буквально завалена такими проблемами, — рассказал журналистам инженер CodeShip. — И дело не только в бесплатных аккаунтах. Иногда они [майнеры] немного платят за наши учетные записи, ведь это намного дешевле, чем аренда на AWS, и добывают криптовалюту на максимальной мощности».
«Злоумышленники намеренно отправляют огромное количество заданий с десятков часто регистрируемых учетных записей и намеренно обходят нашу систему обнаружения злоупотреблений, чтобы использовать как можно больше наших ресурсов для майнинга криптовалют. Это истощает наши ресурсы и приводит к длинным очередям на build для обычных пользователей, — сообщают в блоге сотрудники Sourcehut.
GitLab тоже описывает в своем блоге похожую ситуацию, а рассказывает о способах борьбы с майнингом, которые применит сейчас и в будущем.
«Чтобы воспрепятствовать злоупотреблениям и уменьшить их, начиная с 17 мая 2021 года GitLab будет требовать от новых бесплатных пользователей предоставить действительный номер кредитной или дебетовой карты», — сообщили в компании.
При этом GitLab не будет взимать плату с пользователей, но будет использовать данные карт для проверки личности посредством разовой транзакции в один доллар.
Из-за своих размеров GitLab может позволить себе не отключать бесплатный CI для своих пользователей. Но, к сожалению, другие более мелкие поставщики не могут позволить себе подобного. Так, Sourcehut и TravisCI уже заявили, что планируют прекратить предлагать бесплатные уровни CI из-за постоянных злоупотреблений.
Microsoft, которая столкнулась с аналогичным проблемами прошлом году (из-за Azure Pipelines), тоже решила их весьма просто. Так как большая часть проблем возникала из-за бесплатных грантов, которые раздавали разработчикам опенсорса, начиная с февраля текущего года компания отменила для опенсорсных проектов возможность получения бесплатных грантов и посоветовала использовать GitHub Actions.
Не только CI
По данным издания, подобные атаки не ограничиваются только лишь поставщиками CI. Если любой веб-сервис, предоставляет бесплатный доступ к высокопроизводительной вычислительной инфраструктуре, то майнеры, скорее всего, уже попытались им злоупотребить.
О похожих инцидентах сообщали сервис по созданию сайтов Render, кластерный хостинг Kubernetes Okteto, а крупный немецкий провайдер облачного хостинга и выделенных серверов Hetzner недавно и вовсе запретил майнинг криптовалют на своих серверах, так как пользователи использовали большие устройства хранения для майнинга криптовалюты Chia.
The Record пишет, что на многих криптовалютных форумах сейчас можно найти руководства, в которых подробно описывается, как злоупотребить бесплатным пробным периодом Oracle Cloud или дешевыми уровнями Alibaba Cloud, чтобы развернуть временный сервер для майнинга ради получения небольшой разовой прибыли.
Как индустрия будет противостоять подобным злоупотреблениям, пока неясно. Тогда как одни отказываются от предоставления бесплатных аккаунтов, другие ратуют за развертывание автоматизированных систем, которые будут обнаруживать злоупотребления в режиме реального времени и быстро на них реагировать.