A kriptovaluta visszafelé kúszik, a támadók különféle sémákat használnak a felhő-infrastruktúra feldolgozási teljesítményének felszabadítására, hogy a kriptovaluták, például a Bitcoin és a Monero bányászatára összpontosítsanak.
A Sysdig, a felhőalapú szolgáltatások biztonsági szolgáltatója szerint a kriptominerek ingyenes próbaverziókat használnak a legnagyobb folyamatos integrációs és üzembe helyezési (CI/CD) szolgáltatásokhoz a kód telepítéséhez és az elosztott bányászati platformok létrehozásához. A támadók a rosszul konfigurált Kubernetes és Docker-példányokat is célba veszik, hogy hozzáférjenek a gazdagéphez, és kriptomináló szoftvert futtathassanak – figyelmeztetett a héten a CrowdStrike kiberbiztonsági szolgáltató cég.
Mindkét taktika valójában csak arra törekszik, hogy valaki más rovására beváltsa a digitális valuták felfutását, mondja Manoj Ahuje, a CrowdStrike felhőbiztonsággal foglalkozó vezető fenyegetések kutatója.
„Amíg a veszélyeztetett munkaterhelés rendelkezésre áll, lényegében ez ingyenes számítás – egy kriptomer számára ez már önmagában is nyereség, mivel a beviteli költsége nulla lesz” – mondja. „És… ha egy támadó nagyszámú ilyen munkaterhelést hatékonyan tud kompromittálni a bányászathoz szükséges számítások tömeges beszerzésével, az segít gyorsabban elérni a célt, és ugyanannyi idő alatt többet bányászni.”
A kriptográfiai erőfeszítések idővel növekednek, még akkor is, ha a kriptovaluták értéke zuhant az elmúlt 11 hónapban. A Bitcoin például az 70%-kal csökkent a 2021. novemberi csúcshoz képest, amely számos kriptovaluta alapú szolgáltatást érint. A legújabb támadások azonban azt mutatják, hogy a kiberbűnözők a legalacsonyabb függő gyümölcsöt akarják leszedni.
Úgy tűnik, hogy a szolgáltatók felhő-infrastruktúrájának kompromittálása nem károsítja a vállalkozásokat, de az ilyen feltörések költsége csökkenni fog. A Sysdig általában megtalálta a támadót csak 1 dollárt keres minden 53 dolláros költség után a felhő infrastruktúra tulajdonosai viselik. A Sysdig becslése szerint például egyetlen Monero-érme bányászása ingyenes próbaverzióval a GitHubon a cégnek több mint 100,000 XNUMX dollár bevételkiesést jelentene.
A vállalatok azonban kezdetben nem látják a kriptominálás ártalmát – mondja Crystal Morin, a Sysdig fenyegetéskutatója.
„Nem okoznak közvetlen kárt senkinek, például elvonják valakinek az infrastruktúráját vagy ellopják a vállalkozások adatait, de ha ezt felnagyítanák, vagy más csoportok kihasználnák ezt a fajta műveletet – „felszabadítást”, az anyagi károkat okozhat a szolgáltatóknak. és hatással lesz – a háttérben – a felhasználókra, az ingyenes próbaverziók megszűnnek, vagy a jogos felhasználókat több fizetésre kényszerítik” – mondja.
Kriptobányászok mindenhol
A legújabb támadás, amelyet a Sysdig PURPLEURCHIN-nek nevezett el, úgy tűnik, hogy egy kriptográfiai hálózatot próbálnak összerakni a lehető legtöbb ingyenes próbaverziót kínáló szolgáltatásból. A Sysdig kutatói felfedezték, hogy a legújabb titkosítási hálózat 30 GitHub-fiókot, 2,000 Heroku-fiókot és 900 Buddy-fiókot használt. A kiberbűnözők csoportja letölt egy Docker-tárolót, futtat egy JavaScript-programot, és egy adott tárolóba tölti be.
A támadás sikerét valóban a kiberbűnözői csoport azon törekvése határozza meg, hogy a lehető legtöbbet automatizálják – mondja Michael Clark, a Sysdig fenyegetéskutatási igazgatója.
„Valóban automatizálták az új fiókokhoz való hozzáférést” – mondja. „CAPTCHA bypassokat használnak, a vizuális és az audio verziókat. Új tartományokat hoznak létre, és e-mail szervereket üzemeltetnek az általuk kiépített infrastruktúrán. Az egész moduláris, ezért egy csomó konténert felállítanak egy virtuális gazdagépen.
A GitHub például havi 2,000 ingyenes GitHub Action percet kínál ingyenes szintjén, amely fiókonként akár 33 órányi futási időt is jelenthet - közölte a Sysdig elemzésében.
Kiss-a-Dog
A kriptográfiai kampány A CrowdStrike felfedezte a sebezhető Docker és Kubernetes infrastruktúrát célozza meg. A Kiss-a-Dog kampánynak nevezett kriptobányászok több parancs- és vezérlőkiszolgálót (C2) használnak a rugalmasság érdekében, és rootkitet használnak az észlelés elkerülésére. Számos egyéb képességet is magában foglal, mint például a hátsó ajtók elhelyezése bármilyen kompromittált konténerben, és más technikák alkalmazása a kitartás elérése érdekében.
A támadási technikák hasonlítanak a CrowdStrike által vizsgált más csoportokéhoz, köztük a LemonDuckhoz és a Watchdoghoz. De a legtöbb taktika hasonló a TeamTNT-hez, amely szintén a sebezhető és rosszul konfigurált Docker- és Kubernetes-infrastruktúrát célozta meg – állapította meg a CrowdStrike a tanácsában.
Bár az ilyen támadások nem tűnnek jogsértésnek, a vállalatoknak komolyan kell venniük minden olyan jelet, amely arra utal, hogy a támadók hozzáférhetnek felhőinfrastruktúrájukhoz, mondja a CrowdStrike Ahuje.
„Ha a támadók kriptominert futtatnak a környezetedben, ez annak a tünete, hogy az első védelmi vonal meghibásodott” – mondja. „A kriptobányászok nem hagynak kockát, hogy előnyükre aknázzák ki ezt a támadási felületet.”