Статья Клауд-джекинг: Майнинг криптовалют и кража данных через скомпрометированные инстансы в облаке.

Клауд-джекинг (cloud jacking) - это когда к тебе приходят без спроса, запускают на твоем инстансе майнер, тырят базу клиентов или просто катают свой трафик через твой белый IP, а ты потом месяц расшифровываешь строчки в биллинге. И ладно если бы это делали гении из Лаборатории Касперского, нет - это школьники, которые нашли твой открытый Docker API или твои ключи в публичном репозитории.

Были случай, как парень выложил на гитхаб код телеграм-бота, а в конфиге лежал ACCESS_KEY_ID и SECRET_ACCESS_KEY от S3-бакета с бекапами всей бухгалтерии. Через сутки бакет был пуст, а в логах AWS светились запросы из Нидерландов. Хакеры даже не майнили - они просто скопировали базы и продали конкурентам. Или другой случай: умные ребята забыли закрыть доступ к Kubernetes API наружу, а через неделю в кластере поселился целый зоопарк: два майнера, один прокси для анонимности и бот, который долбил банковские сайты. И все это мирно работало, пока не пришел счет за процессор.

Поэтому, если ты думаешь, что твои инстансы в облаке - это твоя крепость, ты просто еще не платил за чужой майнинг. Облако - это не твой компьютер. Это даже не твой сервер в аренде. Это просто виртуальная песочница, где ты можешь делать что угодно, но за всё платишь. И если ты оставил дверь открытой, зайдут не только майнеры. Зайдут те, кто потом будет использовать твои мощности для DDOS-атак, рассылки спама или хранения детской порнографии. А потом придут следователи и спросят: а почему это с вашего IP? А ты такой: ну, я просто ключи забыл…

Так что мы разберем по косточкам, как именно злые джедаи проникают в облачные инстансы, какие инструменты используют и как от них защищаться. Потому что лучше узнать об этом из статьи, чем из письма от службы безопасности с требованием заплатить 200 тысяч рублей за намайненное электричество.

---

Входной билет - где вы оставили ключи?​

Знаешь, что смешно? Хакерам не нужен zero-day эксплойт для облака. Им не надо ломать шифрование AWS или дырявить гипервизор VMware. Это слишком сложно и слишком дорого. Взлом облака - это всегда социальная инженерия, но направленная не на людей, а на их раздолбайство.

Есть такой негласный закон в среде пентестеров: если не знаешь, с чего начать взлом, загугли название компании на гитхабе. Серьезно. Я сейчас не шучу.

GitHub - помойка для секретов

Ты выкладываешь код, чтобы показать, какой ты крутой программист. Или чтобы просто синхронизировать конфиги между серверами. Или у тебя стартап, и на понедельник надо было показать прототип инвесторам, а во вторник ты уже забыл, что в коммите торчат настоящие ключи.

Так вот, есть целая индустрия ботов, которые круглосуточно мониторят гитхаб на предмет слов AWS_ACCESS_KEY_ID, SECRET_ACCESS_KEY, password, connection string и прочего. Они называются git-парсеры, и написать такого бота может школьник за выходные. А ребята поумнее сделали из этого бизнес. Например, операция EleKtra-Leak, о которой я упоминал - они просто клонировали репозитории, искали ключи, проверяли их валидность и гоняли скрипты, которые за несколько минут настраивали им целые ботнеты из EC2 инстансов. Бесплатные мощности для майнинга за чужой счет.

Ты думаешь: я же удалил этот репозиторий, когда заметил ошибку. Поздравляю, в гитхабе остается форк, если кто-то успел его сделать. Или просто кеш. Или кто-то уже скачал твой код, пока он был публичным. Интернет помнит всё.

Docker API без пароля - открытая дверь в твой сервер

Теперь про любителей модных технологий. Докер - это круто. Докер позволяет изолировать приложения. Но докер, который слушает на порту 2375 без TLS - это просто подарок для джедаев.

Ты ставишь Portainer, чтобы удобно управлять контейнерами. Ты открываешь доступ к API, чтобы CI/CD система могла деплоить автоматически. И забываешь повесить пароль. Или вешаешь, но базовый, который ломается за пять секунд.

Сканеры типа Shodan или Censys обходят интернет каждые несколько часов и составляют списки всех, у которых торчат наружу Docker API, MongoDB без пароля, Elasticsearch наружу. Эти базы продаются на теневых форумах или просто лежат в открытом доступе для тех, кто умеет гуглить.

Дальше скрипт, который я видел в одной телеграмме, работает так:

1. Получает список IP с открытым 2375 портом.
2. Пытается выполнить простую команду: docker -H $IP:2375 run -v /:/mnt alpine cat /etc/shadow
3. Если сработало (а срабатывает часто), значит, хост твой. Ты даже не представляешь, сколько админов маунтят корневую файловую систему в контейнер просто для удобства или оставляют привилегированные контейнеры.
4. Дальше ставится Tor, скачивается XMRig из проверенного источника (часто с гитхаба какого-нибудь левого аккаунта, который потом удалят), и процесс пошел. Майнер живет в /tmp или в volume, прикидываясь системным процессом с именем [kworker] или [systemd-journal].

Nomad и Consul: подстава от HashiCorp

Если ты используе HashiCorp Nomad или Consul для оркестрации и не выключил дефолтные настройки безопасности - у меня для тебя плохие новости. Эти штуки созданы для удобства, а для безопасности нужно включать голову отдельно.

В 2025 году была волна атак через Nomad. Группировка JINX-0132 специализировалась именно на этом. Они сканировали интернет на предмет открытых API Nomad и Consul. Consul, например, часто используется для service discovery и хранит конфиги. А если он открыт, через него можно регистрировать свои сервисы. Например, сервис с задачей запустить докер-контейнер с майнером. Nomad как честный оркестратор видит новую джобу, проверяет, что она валидная (а она валидная, потому что никакой аутентификации нет), и радостно запускает её на всех доступных нодах.

Система сама разносит майнер по кластеру. Админ просыпается, а у него 50 серверов грузят CPU под 100%. И биллинг облака за эти сутки - как за полгода работы.

Коротко про логику

Пойми простую вещь. Злоумышленники не сидят и не ломают конкретно тебя. Они автоматизируют поиск дураков. Их скрипты сканируют всё подряд: GitHub, Shodan, обычный интернет на предмет открытых портов. Они ищут не защищенные системы, а системы, где вообще нет защиты. Потому что таких до сих пор дофига.

И когда скрипт находит твой открытый Redis, или MongoDB, или Docker API, или просто торчащий наружу Kubernetes API server - ты становишься жертвой не потому что ты важная цель, а потому что ты просто попал под раздачу.

В следующей части разберем, как именно они обустраиваются внутри и какие инструменты тащат с собой, чтобы их не вычислили сразу. А пока - проверь свои репозитории на гитхабе. Прямо сейчас. Я подожду.

---

Инфраструктура паразита - как они живут внутри​

Допустим, ты посеял ключи. Или забыл закрыть докер. Или у тебя консул наружу торчит. Скрипт зашел. Что дальше? Дальше начинается самое интересное - обустройство быта.

Представь, что твой сервер - это хата, куда заселились квартиранты без договора. Им тут жить, майнить, качать запрещенку и вообще пользоваться ресурсами. Но они не хотят, чтобы ты их выселил. Поэтому первое, что делает любой вменяемый джедай после захода - это заметает следы и ставит защиту от дурака. То есть от тебя.

Типичная малинница

Ты думаешь, хакеры сидят в подвалах с масками и суперкомпьютерами? ага, конечно. Обычно это парень из Уфы или Минска, у которого ноутбук и доступ к паблик API. И его главная задача - не наследить.

После того как скрипт нашел уязвимый инстанс и выполнил первичную команду (обычно это простой curl на свой сервер с вопросом «кто тут живой»), начинается второй этап. Он называется "закрепление".

Первым делом гость ставит Tor. Не потому что он параноик, а потому что ему нужно стучаться наружу, не светя свой реальный IP. Если майнер будет долбиться напрямую на пул, провайдер быстро заметит подозрительный трафик. А через Tor - попробуй найди. Правда, Tor медленный, поэтому многие используют прокси-цепочки или просто арендованные VPS в других странах, но принцип тот же: твой сервер стучится к ним, но кто они - не узнаешь.

Дальше - скачивание полезной нагрузки. Тут есть нюанс. Если тащить майнер с левого сайта, его могут заблочить антивирусы или системы мониторинга. Поэтому умные ребята используют легитимные репозитории. Самый топовый способ - тянуть софт с гитхаба, маскируясь под обычный curl запрос. Например, XMRig (это стандарт де-факто для майнинга Monero) лежит в открытых репах. Команда wget с гитхаба не вызывает подозрений у системных администраторов, которые потом смотрят логи. А если еще и имя файла поменять на systemd-update или nvidia-driver — вообще красота.

Где они прячутся

Теперь про дислокацию. Ты когда последний раз заглядывал в папку /tmp? А в /dev/shm? Вот туда они и ломятся.

/tmp - святое место. Туда имеет право писать любой процесс, и многие админы забывают чистить эту папку годами. Майнер ложится в /tmp/.systemd или /tmp/.ICE-unix (маскировка под системные файлы X Window). И висит себе, жрет процессор.

Еще один любимый прием - маскировка под легитимные сервисы. Ты видишь в списке процессов kworker или ksoftirqd. Это же ядро, думаешь ты. А на самом деле это переименованный бинарник майнера. Потому что настоящий админ смотрит на top и видит загрузку CPU, но не видит, кто именно грузит, если имя процесса замаскировано под системное.

Бывает, они подменяют библиотеки. LD_PRELOAD - старая, но рабочая тема. Грузится своя библиотека, которая перехватывает обращения к системным вызовам, и майнер становится невидимым для стандартных утилит мониторинга. Ты смотришь htop - все процессы на месте, а CPU в космосе. Красота.

Как они управляют ботнетом

Одиночный майнер на одном сервере - это смешно. Профит копеечный. Настоящие джедаи мыслят стадно. Они создают ботнеты из сотен и тысяч инстансов. И управлять каждым вручную - западло.

Поэтому после закрепления на сервере ставится софт для удаленного управления. Обычно это простой IRC-бот (да, IRC до сих пор рулит в подполье) или соединение через .onion адрес. Командный центр живет где-то в даркнете, имеет адрес типа ksjdhf2389.onion:6667. Каждый зараженный сервер стучится туда и ждет команд. Хочешь - майнинг включи, хочешь - DDOS атакуй, хочешь - прокси включи для анонимного серфинга.

Я видел скрипт, который после установки проверял, есть ли на сервере GPU. Если есть - ставил майнер, заточенный под видеокарты (это намного эффективнее для майнинга). Если нет - просто грузил процессорный майнер. И все это автоматически, без участия человека.

Типичный день из жизни твоего инстанса

Пока ты спишь, происходит следующее:

1. В 3 часа ночи, когда нагрузка на сервер минимальна и ты не смотришь в мониторинг, майнер просыпается.
2. Он договаривается с пулом (например,
   Ссылка скрыта от гостей
   ), получает задание.
3. Твой процессор или видеокарта начинают долбить хэши.
4. Готовые монеты уходят на кошелек хакера, который он создал за 5 минут где-нибудь на локальном кошельке.
5. Если ты включаешь мониторинг - майнер мгновенно засыпает или снижает нагрузку до 10%, чтобы не спалиться.

Это называется "режим скрытности". Некоторые майнеры умеют отслеживать активность пользователя через проверку наличия сессий SSH или движений мыши на графической консоли. Есть движение - майнер тормозит. Нет движения - жрет на полную.

Инструментарий

Если ты захочешь поискать таких гостей у себя, смотри в сторону:

• lsmod - не грузятся ли левые модули ядра.
• crontab -l для всех пользователей - часто майнеры прописываются в крон, чтобы перезапускаться после перезагрузки.
• systemd анализируй - много левых сервисов с именами типа systemd-networkd-update (оригинальное название, ага).
• netstat - кто стучится наружу на нестандартные порты.

Но самое главное - не жди, пока начнутся проблемы. Потому что дальше будет хуже. Во второй части я расскажу про вторичный рынок - когда твоим инстансом пользуются не только для майнинга, но и для глобальных подстав с DNS и кражей данных. Спойлер: майнинг - это еще цветочки.

---

Вторичный рынок - когда ты уже не просто майнер​

Ты думаешь, клауд-джекинг - это только про майнинг? Наивный. Майнинг - это для нищебродов, у которых нет фантазии. Да, он приносит стабильный поток сатошиков, но шумный, жрет ресурсы и быстро спаливается. Настоящие джедаи используют скомпрометированные инстансы для вещей поинтереснее. Вещей, после которых у тебя не просто счет за электричество придет, а могут и письмо из ФСБ или Интерпола.

Hazy Hawk и мертвые DNS

Была в 2024 году громкая история с группировкой Hazy Hawk. Они не майнили. Они делали вещь похитрее. Они искали "мертвые" DNS-записи.

Объясняю для тех, кто в танке. Ты когда-то делал сайт, потом переносил его на новый хостинг, а старые DNS-записи типа CNAME, которые вели на твой S3-бакет или Azure Storage, остались висеть. Потом ты удалил тот старый бакет, потому что он был не нужен. И все, запись висит в DNS, а цели больше нет.

Так вот, Hazy Hawk мониторили такие штуки. Они находили домены крупных компаний, даже правительственных сайтов (был случай с

Ссылка скрыта от гостей

), где CNAME вел в никуда. Они регистрировали этот бакет заново (AWS позволяет, если имя свободно) и получали полный контроль над поддоменом.

Дальше - раздолье. Можно раздавать с этого поддомена малварь, потому что браузеры доверяют легитимному домену. Можно делать фишинговые страницы, собирать пароли. Можно просто редиректить трафик на порносайты и зарабатывать на рекламе. И все это на доверии к домену, который раньше принадлежал крупной конторе.

А теперь вопрос: откуда они брали инстансы для сканирования? Правильно, с твоего облака. Им нужно много машин, чтобы перебирать DNS-зоны, проверять валидность S3-бакетов, регистрировать их. На своих серверах это делать дорого и опасно. А на твоих - бесплатно и безнаказанно.

Data exfiltration: тихий вынос баз

Это самое страшное, что может случиться. Хуже майнинга. Потому что майнинг ты заметишь по счетам, а кражу данных - только когда база клиентов уйдет на черный рынок и твои конкуренты позвонят с выгодным предложением.

Схема простая. Когда джедай получает доступ к твоему инстансу, первое, что он делает - смотрит, что на нем лежит. Переменные окружения (env) - это золотая жила. Там часто торчат пароли от продакшен баз, ключи от платежных систем, доступы к CRM.

Дальше он делает дамп. Медленно, по кусочкам, чтобы не вызвать подозрений у систем мониторинга трафика. Запаковывает в архив, шифрует и тянет к себе через легитимные каналы - например, через тот же Telegram API (боты рулят) или прикручивая к обычным HTTP-запросам.

Был случай, когда админ забыл закрыть доступ к MongoDB на 27017 порту. Через неделю база с 50 гигабайтами личных данных пользователей уплыла в Китай. Просто потому что кто-то поставил скрипт на поиск открытых монг. И скрипт этот крутился на таких же взломанных инстансах, как твой.

Прокси-фермы и ретрансляция

Твой сервер с хорошим каналом и белым IP - мечта для тех, кто хочет спрятать свои реальные следы. Поставь на нем SOCKS5 прокси, и любой школьник из Пакистана сможет долбить банковские сайты от твоего имени.

Особенно это любят спамеры. Им нужны чистые IP с хорошей репутацией, чтобы письма не попадали в спам. Твой сервер, который честно отправлял рассылки для твоего бизнеса, вдруг начинает раз в сутки отправлять по 10 писем с предложением виагры. Ты не замечаешь, потому что нагрузка маленькая. А потом твой домен попадает в черные списки, и вся корпоративная почта встает колом.

DDoS изнутри

Еще один вид бизнеса - аренда ботнетов для DDoS-атак. Те, кто занимается этим профессионально, не используют домашние компьютеры с динамическими IP. Им нужны мощные серверы в датацентрах с толстыми каналами. Твои инстансы в облаке подходят идеально.

Представь: какой-нибудь школьник заказал атаку на сайт конкурента за 50 баксов. Исполнитель берет твой сервер и еще 500 таких же, рассылает команду и в назначенное время все они начинают долбить сайт жертвы. Ты в это время мирно пьешь кофе и смотришь метрики, не понимая, почему у тебя вдруг вырос исходящий трафик в 100 раз. А потом приходит счет от облачного провайдера за перерасход трафика на десятки тысяч рублей.

Как это выглядит в логах

Ты думаешь, они светятся? Черта с два. Все запросы маскируются под обычный HTTPS-трафик. Сейчас любой уважающий себя бот умеет работать через WebSocket или просто стучаться на Cloudflare, а Cloudflare уже проксирует куда надо. В логах у тебя будет куча соединений на легитимные CDN, и ты не поймешь, что это твой сервер общается с командным центром.

Некоторые вообще используют легитимные сервисы как прокладку. Например, Telegram. Создается канал, в который бот постит команды. Бот на твоем сервере читает этот канал (через API, замаскированное под обычный запрос пользователя) и выполняет. Попробуй заблокируй Telegram на сервере - сразу вопросы к админу.

Цифры для понимания

По данным разных лаборов типа CrowdStrike или Mandiant, среднее время обнаружения компрометации в облаке составляет около 250 дней. Двести пятьдесят дней, Карл. За это время можно пять раз обанкротиться. А средняя стоимость инцидента для компании среднего бизнеса - от 200 тысяч до полумиллиона долларов. Это не только прямые убытки, но и штрафы за утечку данных, потеря репутации и оплата юристам.

И самое самое обидное: 90% этих инцидентов происходят из-за человеческой ошибки. Не из-за супер-хакеров, а из-за того, что кто-то забыл закрыть порт, выложил ключ на гитхаб или использовал пароль 123456.

В следующей части я расскажу, как выкурить этих квартирантов и не дать им заселиться снова. Спойлер: без костылей и шаманства с бубном, чистая техника.

---

Выкуриваем квартирантов - методология обратного пинка​

Ты прочитал это все, проверил свои серверы и, скорее всего, нашел что-то подозрительное. Или не нашел, но паранойя уже грызет изнутри. Правильно делаешь. Потому что сидеть и ждать, пока хакер сам уйдет - это как оставить открытую квартиру и надеяться, что воры постесняются заходить. Не постесняются.

Теперь я расскажу, как выкурить этих тварей, не поднимая шума и не давая им сжечь мосты. Потому что если ты просто убьешь процесс майнера, через минуту cron поднимет его снова. А если закроешь доступ, они могут активировать бомбу замедленного действия и снести тебе базы. Тут нужен скальпель, а не кувалда.

Шаг первый: разведка боем

Первое правило: не паникуй. Не вырубай сервер по питанию. Это только навредит. Если ты дернешь рубильник, все следы пребывания останутся в памяти, но ты не узнаешь, как они зашли и где сидят. А они, если грамотные, могут оставить после себя скрипты, которые при следующем запуске восстановят доступ.

Начинаем с холодной головой. Заходим на подозрительный инстанс, но не через обычный SSH (может, там кейлоггер). Используй веб-консоль облачного провайдера - это чистый доступ, не зависящий от твоей ОС.

Первым делом смотрим:

• ps auxf - дерево процессов. Ищем аномалии. Процессы с квадратными скобками в имени - обычно системные. Если видишь [kworker] без скобок или с непривычным PID - насторожись.
• netstat -tunap - кто стучится наружу. Особенно на нестандартные порты типа 3333, 4444, 5555, 8080. Или на адреса в .onion зоне (там будут IP тор-нод).
• ls -la /tmp /dev/shm /var/tmp - ищем подозрительные папки с точкой в начале. .systemd, .proc, .update - типичные названия.
• crontab -l для всех пользователей. Майнеры любят селиться в кроне с периодичностью */5 * * * *.
• systemctl list-units --all - левые сервисы с именами, похожими на системные.

Если нашел что-то, не трогай. Просто запиши. Теперь надо понять масштаб бедствия.

Шаг второй: копаем вглубь

Когда у тебя есть список подозрительных процессов и файлов, смотри связи:

• lsof -p PID процесса - какие файлы открыты, куда стучится.
• strings /proc/PID/exe - часто в бинарнике майнера зашиты адреса пулов или командные строки.
• grep -r "подозрительный_IP" /var/log/* - ищем в логах, когда они первый раз засветились.

Если процесс маскируется под системный, проверь его по контрольной сумме. Настоящий kworker из ядра не имеет бинарника на диске. А поддельный - имеет. Просто найди его через find / -name "имя_процесса" или посмотри через ls -la /proc/PID/exe - там будет ссылка на реальный файл.

Шаг третий: зачистка без шума

Тут главное - не спугнуть. Если майнеров несколько или они управляются удаленно, резкое убийство процессов заставит командный центр прислать подкрепление или активировать механизм самоуничтожения.

Правильный порядок действий:

1. Блокируем исходящие соединения на подозрительные IP на файерволе, но не убиваем процессы. Пусть висят и думают, что все ок.
2. Меняем пароли и ключи доступа ко всем сервисам, которые могли быть скомпрометированы. Особенно IAM ключи в облаке.
3. Снимаем снапшоты дисков для расследования и на случай, если что-то пойдет не так.
4. Только после этого убиваем процессы, удаляем файлы, чистим cron и systemd.
5. Перезагружаем сервер, чтобы выгрузить возможные руткиты в памяти.

Инструменты, которые нужны

Забудь про антивирусы на серверах - они жрут ресурсы и видят только известные сигнатуры. Хакеры используют кастомные бинарники, которые антивирус не знает. Тут нужны другие инструменты:

• Lynis - бесплатный аудитор безопасности для Linux. Покажет дыры в конфигурации и подозрительные места.
• Chkrootkit / Rkhunter - старые, но проверенные искатели руткитов.
• ClamAV - если очень хочется антивирус, но лучше не надейся.
• Falcon Sandbox или Cuckoo - если подозреваешь файл, загрузи его туда и посмотри, что он делает в изоляции. Бесплатные версии есть.

Шаг четвертый: расследование

Ты вычистил систему. Теперь надо понять, как они зашли, чтобы не повторилось. Иди по цепочке:

• Смотри логи SSH - кто и когда логинился, откуда.
• Смотри логи приложений - если уязвимость была в вебе, там будут следы.
• Смотри API-логи облачного провайдера - кто создавал ресурсы, кто менял политики доступа.
• Проверь все IAM ключи - не висят ли где-то лишние.

Часто оказывается, что доступ был получен через забытый тестовый аккаунт с правами администратора. Или через ключ, который лежал в git-репозитории два года назад.

Профилактика для будущего

Чтобы снова не попасть на деньги, делай так:

1. Короткоживущие ключи. Не храни постоянные IAM ключи на серверах. Используй роли EC2 или механизмы временных токенов.
2. Минимальные права. Контейнеры и сервисы должны иметь доступ ровно к тому, что им нужно. Никаких привилегированных контейнеров, если не уверен на 100%.
3. Сканируй себя сам. Раз в месяц запускай сканеры типа Nessus или OpenVAS против своей инфраструктуры. Или нанимай пентестеров. Лучше ты найдешь дыру, чем какой-то школьник.
4. Мониторинг поведения. Ставь системы типа Wazuh или Osquery с централизованным сбором логов. Настрой алерты на аномалии: резкий рост CPU, необычные исходящие соединения, создание новых пользователей.
5. Закрывай порты. Если сервис не должен торчать наружу - закрой его за балансировщиком или используй VPN для доступа. Docker API без TLS - это вообще моветон.

Были и такие админы, у которых майнеры сидели полгода. Они не замечали, потому что думали, что нагрузка на CPU - это нормально для их приложения. Потом пришел счет от AWS на 40 тысяч долларов за месяц. Оказалось, что у них было 50 инстансов, и все жрали электричество на полную катушку. Они потратил две недели, чтобы доказать поддержке, что это не они майнил, и ему списали половину суммы. Но полгода утекших данных и репутационные потери никто не вернет.

Поэтому не будь таким. Проверяй. Чисти. Автоматизируй защиту. Потому что клауд-джекинг - это реальность, в которой мы живем. И лучше потратить день на настройку безопасности сейчас, чем месяц на разборки с облачным провайдером и правоохранителями потом.

---

​

Как не стать кормом для цифровых хищников​

Корень зла не в хакерах. Хакеры были всегда и будут. Корень зла в твоем начальнике, который не выделяет бюджет на безопасность, потому что "у нас пока ничего не украли". И в тебе, который экономит час времени на настройке IAM политик, потому что "и так сойдет". И в облачных провайдерах, которые делают безопасность платной опцией, потому что им выгоднее продавать поддержку после инцидента.

Посмотри правде в глаза: AWS и Google зарабатывают миллиарды не только на твоих серверах, но и на твоих ошибках. Когда тебя взламывают и ты гоняешь майнеры неделю, они получают оплату за этот процессор. Им плевать, кто платит - ты или хакер. Им главное, чтобы инстансы крутились.

Что делать, если ты уже горишь

Допустим, ты прочитал статью, полез проверять и обнаружил, что у тебя в кластере живет целая колония майнеров. Твои действия:

1. Не геройствуй. Не пытайся зайти и убить всё в одиночку через SSH. Они могли оставить бэкдор, который при детекте удалит базы. Или заминировать систему.
2. Изолируй. В облаке просто останови инстансы или заблокируй трафик на уровне security groups. В реале - отруби сетевой кабель, если сервер физический. Не дай им сбежать с данными.
3. Сними образы. Перед тем как чистить, сделай снапшоты дисков и дампы памяти (через LiME, например). Это улики. И если что-то пойдет не так, будет откат.
4. Зови подмогу. Если ты не спец по форензике, найми тех, кто шарит. Есть конторы, которые за разумные деньги приедут и всё почистят, дав гарантию. Дешевле, чем потерять бизнес.
5. Меняй всё. Пароли, ключи, токены. Предполагай, что скомпрометировано всё, включая твой ноутбук, с которого ты заходишь на серверы.

Психология безопасности

Самое сложное в защите - это не технологии, а твоя голова. Ты должен принять паранойю как образ жизни. Не как болезнь, а как полезную привычку.

Вот несколько правил, которые я вынес за годы:

• Доверяй, но проверяй. Любой сторонний код, любая библиотека, любой докер-образ с Docker Hub могут содержать сюрприз. Не ленись смотреть, что ты тянешь в свой прод.
• Минимальные права - закон. Никогда не давай процессу больше прав, чем нужно. Если приложению нужен доступ к одной таблице в базе, не давай доступ ко всей базе. Если серверу не нужен доступ в интернет - закрой его наглухо.
• Логи - это святое. Настраивай централизованный сбор логов сразу, как поднял первый сервер. Потому что когда придет беда, логи из продакшена могут быть уже перезаписаны или удалены хакером.
• Автоматизируй защиту. Руками проверять 100 серверов каждый день невозможно. Используй инструменты сканирования уязвимостей, системы обнаружения вторжений (IDS), политики IaC (инфраструктура как код) с проверкой на безопасность до деплоя.

Инструменты, которые реально помогают

Я не буду рекомендовать дорогие корпоративные решения, которые стоят как крыло самолета. Вот что реально работает и не требует бюджета:

• Terraform + Checkov. Пишешь инфраструктуру кодом, а Checkov проверяет, нет ли там открытых наружу портов или публичных S3 бакетов. Запускается в CI/CD до того, как уйдет в прод.
• Falco. Система от Sysdig для обнаружения аномалий в реальном времени. Видит, когда в контейнере запускается шелл, когда кто-то лезет в /etc/shadow, когда процесс стучится на подозрительный IP.
• Wazuh. OpenSource SIEM (система сбора и анализа событий). Ставится за пару часов, собирает логи со всех серверов, умеет обнаруживать типовые атаки.
• Vault от HashiCorp. Хранилище секретов. Чтобы ключи не лежали в конфигах на серверах, а выдавались приложению на время и сами протухали.
• Trivy. Сканер уязвимостей в контейнерах и файловых системах. Запускается в CI/CD и не пускает в прод образы с критическими дырами.

Что насчет будущего

Знаешь, чем забавна эта тема? Каждый второй думает: ну, сейчас майнинг запретят, крипта упадет, и хакеры пойдут работать курьерами. Хер там плавал. Клауд-джекинг не исчезнет. Он просто сменит шкуру, как змея, которая сбросила старую и выползла погреться на твоем процессоре.

Майнинг - это вчерашний день. Да, он никуда не делся, и школьники всё еще долбят XMRig на забытых инстансах. Но профи смотрят дальше. Они уже сейчас переходят к вещам, после которых у тебя не просто счет за электричество вырастет, а бизнес может рухнуть полностью.

Кража моделей машинного обучения

Ты в курсе, что нейросети - это новая нефть? Компании тратят миллионы долларов на обучение моделей. Они собирают данные, месяцами гоняют GPU кластеры, платят инженерам. А потом эта модель живет где-нибудь на продакшен сервере, доступ к которому защищен простым паролем или IAM ключом.

Теперь представь: хакер заходит на твой инстанс, находит там веса обученной модели (это файлы размером в гигабайты), тихонько копирует их к себе. Всё. Твои миллионы и годы работы ушли конкуренту за одну ночь. Он может продать эту модель на черном рынке, может использовать сам, может просто выложить в открытый доступ, чтобы тебя уничтожить репутационно.

Есть уже прецеденты, когда воровали модели из OpenAI через скомпрометированные ключи API. Но это цветочки. Когда начнут воровать сами файлы обученных сетей из инстансов - вот тогда веселье и наступит.

GPU фермы для чужих расчетов

У тебя есть мощные серверы с видеокартами? Поздравляю, ты дойная корова. Хакеры уже не хотят майнить - майнинг на GPU стал невыгодным по сравнению с ASIC-ами. Им нужно другое.

Они хотят арендовать твои видеокарты для своих расчетов. Например, для взлома паролей через hashcat. Или для обучения своих собственных нейросетей. Или для рендера видео. Ты даже не представляешь, сколько людей готовы платить за доступ к мощным GPU, если это дешевле, чем арендовать у облачных провайдеров легально.

И схема простая: взламывают твой инстанс с Tesla V100, ставят софт для удаленного доступа к GPU, и сдают в аренду на теневых форумах. Ты платишь за электричество и амортизацию карт, а они получают профит. И ты даже не заметишь, потому что нагрузка на GPU может быть не 100%, а просто равномерной, под видом легитимных задач.

Внедрение в пайплайны разработки

Это высший пилотаж. Самый страшный сон любого девопса.

Хакеры не ломают продакшен. Там сложно, там мониторинг, там алерты. Они ломят разработку. CI/CD системы, репозитории с кодом, среды для сборки. Потому что если ты внедришь закладку в код до того, как он попадет в прод, ты получишь контроль над всеми инстансами сразу.

Представь: ты тянешь библиотеку из npm, pip или maven. Эту библиотеку поддерживает какой-то чувак, у которого украли аккаунт. В библиотеку добавили пять строчек кода, которые открывают бэкдор при запуске. Ты включаешь эту либу в свой проект, собираешь докер-образ, пушишь в регистри, деплоишь на тысячу серверов. И всё. Хакер получил ключи от твоего королевства.

Такие атаки уже были. ColorFul, event-stream - громкие имена, которые прогремели на весь мир. Дальше будет только хуже, потому что зависимостей в современном софте дофига, и уследить за всеми невозможно.

Искусственный интеллект на обе стороны фронта

Теперь про ИИ, про который все тащатся. Да, ChatGPT и его братья-близнецы меняют правила игры. Но не так, как ты думаешь.

Хакеры уже используют нейросети для автоматизации поиска уязвимостей. Раньше надо было вручную изучать код, искать дыры. Теперь можно скормить нейросети код и спросить: где здесь можно вставить SQL-инъекцию? И она покажет. Не идеально, но для массовых атак хватает.

Фишинг стал другим. Раньше письма от "службы безопасности банка" писали кривыми руками, с ошибками, и любой дурак отличал. Теперь нейросеть напишет письмо от имени твоего начальника, с его стилем общения, с правильными орфографией и пунктуацией, и ты поверишь. Потому что оно идеальное.

С другой стороны, защитники тоже вооружаются. Системы типа DarkTrace используют машинное обучение, чтобы замечать аномалии, которые человек бы пропустил. Трафик чуть-чуть не такой, поведение пользователя слегка изменилось - система бьет тревогу.

Но знаешь, что самое смешное? ИИ не заменит башку. Потому что самые хитрые атаки всегда будут нацелены не на софт, а на человека. На его лень, на его доверчивость, на его желание сэкономить пять минут.

Ты можешь поставить самые крутые системы защиты, нанять толпу аналитиков, купить дорогущие фаерволы. Но если твой разработчик выложит ключ на гитхаб, потому что ему лень настраивать Vault - ты проиграл. Если админ поставит пароль 123456 на админку - ты проиграл. Если директор перейдет по ссылке в письме от "коллеги" - ты проиграл.

И никакой искусственный интеллект тут не поможет. Потому что человеческая глупость не лечится нейросетями. Она лечится только пинками и печальным опытом.

Что будет через пять лет

Прогнозы дело неблагодарное, но попробую.

Клауд-джекинг станет услугой. Уже сейчас есть даркнет-маркетплейсы, где можно купить доступ к взломанным серверам. Цены смешные: от 10 баксов за корень с доступом. Там же можно заказать майнинг, DDoS, прокси, рассылку спама. Всё как в обычном бизнесе, только нелегально.

Безопасность облаков останется такой же дырявой, потому что провайдерам выгоднее продавать поддержку после инцидентов, чем делать безопасность бесплатной и удобной. Посмотри на AWS: базовые вещи типа GuardDuty или Inspector - платные. А бесплатные инструменты надо самому настраивать, и они неудобные.

Регуляторы начнут жестко прессовать за утечки. Уже в Европе штрафы за утечку персональных данных достигают миллионов евро. В России тоже постепенно ужесточают. Скоро владельцы серверов будут отвечать не только рублем, но и уголовкой, если через их дырявые инстансы пойдет трафик с детским порно или призывами к терроризму.

И последнее. Хакеры не переведутся никогда. Потому что это такая же работа, как твоя. Просто у них рабочий день начинается, когда твой заканчивается. Они сидят в своих чатах, обмениваются опытом, покупают и продают доступы, автоматизируют атаки. Это индустрия с оборотом в миллиарды долларов.

Так что вопрос не в том, будет ли клауд-джекинг завтра. Будет. Вопрос в том, окажешься ли ты завтра кормом или будешь тем, кто кормит.

---

Заключение​

Я тебе скажу так: хакеры не переведутся никогда. Потому что это такой же бизнес, как твой. Только у них маржинальность выше, а расходы на электричество - за твой счет. Они не сидят и не думают: "О, давай-ка взломаем Петю Иванова из ООО 'Ромашка'". Им пофигу на Петю. Они просто кидают сети в море и смотрят, что попалось. И если твоя инфраструктура торчит наружу открытыми портами или забытыми ключами - ты попался. Не сегодня, так завтра.

Самое смешное и одновременно грустное в этой истории - что защита от 99% атак стоит копейки. Буквально. Потратить один день на аудит своих репозиториев, закрыть докер-даемон паролем, повесить VPN для доступа к админке, поставить Wazuh для сбора логов. Это не требует миллионов бюджета и команды из двадцати спецов по безопасности. Это требует только одного - твоего желания быть в безопасности.

Потому что знаешь, что происходит с теми, кто не хочет? Они приходят на форумы и пишут посты: "Помогите, взломали сервер, майнеры жрут CPU, AWS выставил счет на 5000 баксов, что делать?". Им отвечают: "А почему не настроил мониторинг? А почему ключи наружу торчали? А почему SSH открыт на весь мир?". А они ноют: "Да это же дорого, да это же сложно, да у меня времени нет".

Время есть всегда. Вопрос приоритетов. Ты находишь время посмотреть ютубчик, посидеть в телеграме, полистать мемы. А на то, чтобы прописать три правила в файерволе и закрыть лишние порты - времени нет. Ну ок. Тогда не ной, когда придет пинок.

Я не призываю тебя становиться параноиком, который заворачивает серверы в фольгу и спит в бункере. Я призываю тебя к одному - к честности с самим собой. Просто признай: у тебя есть дыры. У всех есть. Вопрос в том, знаешь ли ты о них и собираешься ли затыкать.