Η αλυσίδα εφοδιασμού εμπορευματοκιβωτίων επιτίθεται σε μετρητά για κρυπτοτζάκινγκ

Οι απειλές κατά της εγγενούς υποδομής του cloud αυξάνονται, ιδιαίτερα καθώς οι εισβολείς στοχεύουν πόρους cloud και κοντέινερ για να τροφοδοτήσουν τις παράνομες λειτουργίες κρυπτονομίας τους. Στην τελευταία εξέλιξη, οι εγκληματίες του κυβερνοχώρου προκαλούν όλεθρο στους πόρους του cloud για να διαδίδουν και να διευθύνουν επιχειρήσεις cryptojacking σε δαπανηρά συστήματα που κοστίζουν στα θύματα περίπου 50 $ σε πόρους cloud για κάθε κρυπτονομίσματα αξίας 1 $ που οι απατεώνες εξορύσσουν από αυτά τα υπολογιστικά αποθέματα.

Αυτό σύμφωνα με μια νέα έκθεση που δημοσιεύτηκε σήμερα από τη Sysdig, η οποία δείχνει ότι ενώ οι κακοί θα επιτεθούν αδιακρίτως σε οποιοδήποτε αδύναμο cloud ή πόρους κοντέινερ που μπορούν να πάρουν τα χέρια τους για να ενισχύσουν τα συστήματα κρυπτοεξόρυξης που βγάζουν χρήματα, είναι επίσης έξυπνα στρατηγικοί για αυτό. 

Στην πραγματικότητα, πολλές από τις πιο πονηρές επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού έχουν σχεδιαστεί σε μεγάλο βαθμό για να γεννήσουν κρυπτοminers μέσω μολυσμένων εικόνων κοντέινερ. Οι εισβολείς όχι μόνο αξιοποιούν τις εξαρτήσεις πηγαίου κώδικα που συνήθως θεωρούνται σε επιθετικές επιθέσεις εφοδιαστικής αλυσίδας - αξιοποιούν επίσης κακόβουλες εικόνες κοντέινερ ως αποτελεσματικό όχημα επίθεσης, σύμφωνα με το Sysdig.Αναφορά 2022 Cloud-Native Threat. " 

Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται την τάση στην κοινότητα ανάπτυξης να μοιράζονται έργα κώδικα και ανοιχτού κώδικα μέσω προκατασκευασμένων εικόνων κοντέινερ μέσω μητρώων κοντέινερ όπως το Docker Hub. Οι εικόνες κοντέινερ έχουν εγκατεστημένο και διαμορφωμένο όλο το απαιτούμενο λογισμικό σε έναν εύκολο στην ανάπτυξη φόρτο εργασίας. Αν και αυτό είναι μια σημαντική εξοικονόμηση χρόνου για τους προγραμματιστές, ανοίγει επίσης έναν δρόμο για τους εισβολείς να δημιουργήσουν εικόνες που έχουν ενσωματωμένα κακόβουλα ωφέλιμα φορτία και στη συνέχεια να δημιουργήσουν πλατφόρμες όπως το DockerHub με τα κακόβουλα προϊόντα τους. Το μόνο που χρειάζεται είναι ένας προγραμματιστής να εκτελέσει ένα αίτημα έλξης Docker από την πλατφόρμα για να εκτελεστεί αυτή η κακόβουλη εικόνα. Επιπλέον, η λήψη και η εγκατάσταση του Docker Hub είναι αδιαφανής, γεγονός που καθιστά ακόμη πιο δύσκολο τον εντοπισμό πιθανών προβλημάτων.

«Είναι ξεκάθαρο ότι οι εικόνες κοντέινερ έχουν γίνει ένας πραγματικός φορέας επίθεσης, παρά ένας θεωρητικός κίνδυνος», εξηγεί η έκθεση, για την οποία η Sysdig Threat Research Team (TRT) πέρασε από μια πολύμηνη διαδικασία κοσκίνισης των εικόνων δημόσιων κοντέινερ που ανέβασαν χρήστες σε όλο τον κόσμο. DockerHub για εύρεση κακόβουλων περιπτώσεων. «Οι μέθοδοι που χρησιμοποιούνται από κακόβουλους παράγοντες που περιγράφονται από το Sysdig TRT στοχεύουν ειδικά σε φόρτους εργασίας cloud και κοντέινερ».

Το κυνήγι της ομάδας εμφανίστηκε πάνω από 1,600 κακόβουλες εικόνες που περιείχαν cryptominers, backdoors και άλλο κακόβουλο λογισμικό μεταμφιεσμένο ως νόμιμο δημοφιλές λογισμικό. Τα κρυπτομεταλλευτικά ήταν μακράν τα πιο διαδεδομένα, αποτελώντας το 36% των δειγμάτων.

«Οι ομάδες ασφαλείας δεν μπορούν πλέον να αυταπατούνται με την ιδέα ότι «τα εμπορευματοκιβώτια είναι πολύ καινούργια ή πολύ εφήμερα για να τα ενοχλούν οι παράγοντες απειλών», λέει ο Stefano Chierici, ανώτερος ερευνητής ασφαλείας στο Sysdig και συν-συγγραφέας της έκθεσης. «Οι επιτιθέμενοι είναι στο σύννεφο και παίρνουν πραγματικά χρήματα. Η υψηλή επικράτηση της δραστηριότητας cryptojacking αποδίδεται στον χαμηλό κίνδυνο και την υψηλή ανταμοιβή για τους δράστες».

TeamTNT και Chimera

Ως μέρος της έκθεσης, ο Chierici και οι συνεργάτες του έκαναν επίσης μια βαθιά τεχνική ανάλυση των τακτικών, τεχνικών και διαδικασιών (TTP) της ομάδας απειλών TeamTNT. Ενεργός από το 2019, η ομάδα σύμφωνα με ορισμένες πηγές έχει παραβιάσει πάνω από 10,000 συσκευές cloud και κοντέινερ κατά τη διάρκεια μιας από τις πιο διαδεδομένες εκστρατείες επίθεσης, τη Chimera. Είναι περισσότερο γνωστό για τη δραστηριότητα τύπου worm cryptojacking και σύμφωνα με την έκθεση, η TeamTNT συνεχίζει να βελτιώνει τα σενάρια και τα TTP της το 2022. Για παράδειγμα, τώρα συνδέει σενάρια με την υπηρεσία AWS Cloud Metadata για να αξιοποιήσει διαπιστευτήρια που σχετίζονται με μια παρουσία EC2 και να αποκτήσει πρόσβαση σε άλλους πόρους που συνδέονται με μια παραβιασμένη περίπτωση.

«Εάν υπάρχουν υπερβολικά δικαιώματα που σχετίζονται με αυτά τα διαπιστευτήρια, ο εισβολέας θα μπορούσε να αποκτήσει ακόμη μεγαλύτερη πρόσβαση. Η Sysdig TRT πιστεύει ότι η TeamTNT θα ήθελε να αξιοποιήσει αυτά τα διαπιστευτήρια, εάν είναι σε θέση, για να δημιουργήσει περισσότερες περιπτώσεις EC2, ώστε να αυξήσει τις δυνατότητες και τα κέρδη της στην κρυπτονομία», ανέφερε η έκθεση.

Ως μέρος της ανάλυσής της, η ομάδα έσκαψε σε μια σειρά από πορτοφόλια XMR που χρησιμοποιούνται από την TeamTNT κατά τη διάρκεια εκστρατειών εξόρυξης για να υπολογίσει τον οικονομικό αντίκτυπο του κρυπτονομίσματος. 

Χρησιμοποιώντας τεχνική ανάλυση των επιχειρησιακών πρακτικών της ομάδας απειλών κατά τη διάρκεια της επιχείρησης Chimera, η Sysdig μπόρεσε να ανακαλύψει ότι ο αντίπαλος κόστισε στα θύματά του 11,000 $ σε ένα μόνο παράδειγμα AWS EC2 για κάθε XMR που εξόρυξε. Τα πορτοφόλια που ανέκτησε η ομάδα ανήλθαν σε περίπου 40 XMR, που σημαίνει ότι οι επιτιθέμενοι οδήγησαν έναν λογαριασμό cloud σχεδόν 430,000 $ για να εξορύξουν αυτά τα νομίσματα. 

Χρησιμοποιώντας την αποτίμηση κερμάτων από τις αρχές του έτους, η έκθεση υπολόγισε ότι η αξία αυτών των νομισμάτων ισούται με περίπου 8,100 $, με τα στοιχεία στο πίσω μέρος του φακέλου να δείχνουν ότι για κάθε δολάριο που βγάζουν οι κακοί, κοστίζουν στα θύματα τουλάχιστον 53 $ μόνο σε λογαριασμούς cloud.