U zabrinjavajućem razvoju za profesionalce u oblasti sajber bezbjednosti, hakeri sve više ciljaju na neobezbjeđene Kubernetes klastere kako bi primijenili operacije rudarenja kriptovaluta, koristeći računarske resurse organizacija žrtava bez njihovog znanja.
Ovi napadi iskorišćavaju ranjivosti u kontejnerskim okruženjima, posebno se fokusirajući na pogrešne konfiguracije i slabe mehanizme provjere autentičnosti koji omogućavaju neovlašćeni pristup Kubernetes infrastrukturi.
Napadi obično započinju kompromitacijom kredencijala kroz tehnike prskanja lozinki, nakon čega slijedi stvaranje neovlašćenih grupa resursa i postavljanje kontejnera.
Jednom kada hakeri dobiju pristup Kubernetes klasteru, mogu da primijene brojne kontejnere posvećene aktivnostima kriptominiranja, efektivno pretvarajući računarske resurse organizacije u sredstva koja generišu profit za napadače.
Posebno zabrinjavajući slučaj pojavio se u protekloj godini kada su napadači koristili sofisticirane napade sprejom lozinkom na korisnike oblaka u sektoru obrazovanja.
Microsoftovi istraživači identifikovali su grupu pretnji praćenu kao Oluja-1977 iza ovih napada.
Analizirajući metodologiju napada, Microsoft Threat Intelligence je primijetio da je alat prihvatio datoteku pod nazivom accounts.txt koja sadrži kombinacije korisničkog imena i lozinke kao ulaz, a koja je zatim korišćena protiv ciljnih korisnika za provjeru valjanosti.
U jednom dokumentovanom incidentu, istraživači su bili svjedoci uspješnog kompromitovanja računa gdje je haker iskoristio gostujući račun da stvori grupu resursa unutar ugrožene pretplate.
Nakon početnog pristupa, napadač je nastavio kreirati više od 200 kontejnera unutar grupe resursa i konfigurisao ih posebno za operacije rudarenja kriptovaluta.
Otkrivanje napada putem Kubernetes revizije
Ključni element u otkrivanju ovih operacija kriptomajnovanja je razumijevanje karakterističnih obrazaca koji se pojavljuju u Kubernetes evidencijama revizije.
Kada hakeri implementiraju svoju rudarsku infrastrukturu, često im je potreban privilegovani pristup, koji stvara prepoznatljive potpise u revizorskom tragu klastera.
Na primjer, sljedeći upit može otkriti kreiranje privilegovanih kontejnera, uobičajeni zahtjev za operacije kriptomajnovanja:-
CloudAuditEvents
where Timestamp > ago(1d)
where DataSource == "Azure Kubernetes Service"
where OperationName == "create"
where RawEventData.ObjectRef.resource == "pods"
where RawEventData.ResponseStatus.code startswith "20"
extend PodName = RawEventData.RequestObject.metadata.name
extend PodNamespace = RawEventData.ObjectRef.namespace
mv-expand Container = RawEventData.RequestObject.spec.containers
extend ContainerName = Container.name
where Container.securityContext.privileged == "true".webp)
Putevi napada na Kubernetes okruženja pokazuju kako hakeri napreduju od početnog pristupa do primjene rudarenja kriptovaluta .
Organizacijama se savjetuje da implementiraju robusne sigurnosne mjere, uključujući odgovarajuće kontrole autentifikacije, ograničenja mrežnog saobraćaja i kontinuirano praćenje kontejnerskih okruženja kako bi identifikovale i ublažile ove prijetnje prije nego što uspostave operacije kriptomajnovanja.
Izvor: CyberSecurityNews
