近期,亚马逊云服务(AWS)用户遭遇新型网络安全威胁。黑客通过窃取有效的AWS身份和访问管理(IAM)凭证,获取初始权限后快速部署加密货币挖矿程序。亚马逊安全工程师发现,攻击者并未利用系统漏洞,而是直接通过盗取的“管理员级权限”在ECS(弹性容器服务)和EC2(弹性计算云)上运行名为“SBRMiner-MULTI”的挖矿软件。从入侵到启动挖矿程序,整个过程仅需10分钟,效率极高。 此次攻击的成功源于两个关键因素:一是攻击者非法获取了高权限的AWS凭证;二是采用了高度脚本化和自动化的技术手段。黑客在窃取凭证后,首先调用RunInstances API并启用DryRun标志测试权限范围,确认权限充足后,立即大规模创建ECS集群和EC2实例,甚至利用自动扩展组最大化资源占用。更不容忽视的是,攻击者通过ModifyInstanceAttribute禁用实例终止功能,确保挖矿活动持续进行,同时部署无身份验证的Lambda函数以维持长期访问。这些技术组合表明,加密货币挖矿攻击的复杂性和隐蔽性提升。 此类攻击不仅导致受害企业承担高额云计算费用,还可能因系统资源被占用而影响正常业务。亚马逊GuardDuty威胁检测服务已发现多起类似案例并向客户发出警报,但攻击者的持久性技术使得清除恶意实例需要额外操作,增加了企业的处置成本。从行业角度看,此次事件暴露出云服务在权限管理和行为监测上仍存在不足,可能促使企业重新评估云端资产的安全性。 亚马逊安全团队建议用户采取多层防御策略:首先,严格限制IAM权限范围,遵循最小权限原则;其次,启用GuardDuty等监测服务实时识别异常API调用;此外,定期审计Lambda函数等资源配置,关闭不必要的公开访问接口。对企业用户而言,建立凭证泄露应急响应机制,并加强对计算服务配额使用的监控也至关重要。 随着云计算成为数字经济的基础设施,针对云服务的攻击手段将持续升级。此次事件中攻击者显示出的自动化脚本能力和持久性技术,预示着未来网络犯罪可能向更隐蔽、更高效的方向发展。安全专家指出,云服务提供商与用户需形成联防联控机制,通过行为分析、AI监测等技术升级构建动态防御体系,以应对不断变化的网络威胁环境。
云计算的弹性与便捷是一把“双刃剑”:它既能推动数字化转型,也可能在凭证泄露时被迅速用于牟利。保障云上安全的关键不仅在于技术防护,更在于落实身份管理、权限控制、审计与响应机制。通过制度化的最小权限、强认证措施以及自动化处置方案,才能将风险控制在合理范围内,为数字经济的健康发展奠定坚实基础。