האיומים על תשתית מקורית בענן נמצאים במגמת עלייה, במיוחד כאשר התוקפים מכוונים למשאבי ענן ומכולות כדי להפעיל את פעולות ההצפנה הבלתי חוקיות שלהם. בתפנית האחרונה, פושעי סייבר זורעים הרס במשאבי ענן כדי להפיץ ולנהל ארגוני חטיפי קריפטו בתוכניות יקרות שעולות לקורבנות כ-50 דולר במשאבי ענן על כל מטבע קריפטוגרפי בשווי 1 דולר שהנוכלים מוציאים מתוך עתודות המחשוב הללו.
כך עולה מדו"ח חדש שיצא היום מ-Sysdig, שמראה שבעוד שהחבר'ה הרעים יתקפו ללא הבחנה כל משאב ענן חלש או מיכל שהם יכולים לשים עליהם את ידיהם כדי להפעיל תוכניות קריפטומין להרוויח כסף, הם גם אסטרטגיים בחוכמה לגבי זה.
למעשה, רבות מהתקפות שרשרת אספקת התוכנה הערמומיות ביותר נועדו במידה רבה להוליד קריפטומינרים באמצעות תמונות מיכל נגועות. תוקפים לא רק ממנפים את התלות בקוד המקור שהכי נהוג לחשוב עליהם בהתקפות התקפיות של שרשרת אספקה - הם גם ממנפים תמונות מיכל זדוניות ככלי תקיפה יעיל, על פי הדיווח של Sysdig.דוח איום 2022 בענן".
פושעי סייבר מנצלים את המגמה בתוך קהילת הפיתוח לשתף קוד ופרויקטים של קוד פתוח באמצעות תמונות קונטיינר מוכנות מראש דרך רישום קונטיינר כמו Docker Hub. לתמונות מיכל מותקנות ומוגדרות כל התוכנות הנדרשות בעומס עבודה קל לפריסה. למרות שזה חיסכון רציני בזמן למפתחים, זה גם פותח נתיב לתוקפים ליצור תמונות שיש בהן מטענים זדוניים מובנים ולאחר מכן ליצור פלטפורמות כמו DockerHub עם הסחורה הזדונית שלהן. כל מה שצריך זה שמפתח יפעיל בקשת משיכה של Docker מהפלטפורמה כדי להפעיל את התמונה הזדונית הזו. יתרה מכך, ההורדה וההתקנה של Docker Hub אטומות, מה שמקשה עוד יותר על זיהוי פוטנציאל לצרות.
"ברור שתמונות קונטיינר הפכו לוקטור התקפה אמיתי, ולא לסיכון תיאורטי", הסביר הדו"ח, שעבורו עבר צוות המחקר של Sysdig Threat Research (TRT) תהליך ארוך של חודשים של סינון בין תמונות מכולה ציבוריות שהועלו על ידי משתמשים ברחבי העולם. DockerHub כדי למצוא מופעים זדוניים. "השיטות שבהן משתמשים שחקנים זדוניים המתוארים על ידי Sysdig TRT מכוונות במיוחד לעומסי עבודה בענן ומכולות."
הציד של הצוות העלה יותר מ-1,600 תמונות זדוניות המכילות קריפטומינרים, דלתות אחוריות ותוכנות זדוניות מגעילות אחרות המחופשות לתוכנה פופולרית לגיטימית. קריפטומינרים היו הנפוצים ביותר, והיוו 36% מהדגימות.
"צוותי אבטחה כבר לא יכולים להשלות את עצמם ברעיון ש'מכולות הן חדשות מדי או ארעיות מדי מכדי שגורמי איום יטרחנו'", אומר סטפנו צ'יריצ'י, חוקר אבטחה בכיר ב-Sysdig ומחבר שותף של הדו"ח. "התוקפים נמצאים בענן, והם לוקחים כסף אמיתי. השכיחות הגבוהה של פעילות גנבי קריפטו נובעת מהסיכון הנמוך והתגמול הגבוה עבור העבריינים".
TeamTNT ו-Chimera
כחלק מהדוח, Chierici ועמיתיו עשו גם ניתוח טכני מעמיק של הטקטיקות, הטכניקות והנהלים (TTPs) של קבוצת האיומים TeamTNT. פעילה מאז 2019, הקבוצה לפי כמה מקורות התפשרה על יותר מ-10,000 מכשירי ענן ומכולות במהלך אחד ממסעות התקיפה הנפוצים ביותר שלה, Chimera. הוא ידוע בעיקר בפעילות תולעת cryptojacking ולפי הדו"ח, TeamTNT ממשיכה לחדד את הסקריפטים וה-TTP שלו בשנת 2022. לדוגמה, כעת היא מחברת סקריפטים עם שירות AWS Cloud Metadata כדי למנף אישורים הקשורים למופע EC2 ולקבל גישה אל משאבים אחרים הקשורים למופע שנפגע.
"אם יש הרשאות מופרזות הקשורות לאישורים האלה, התוקף יכול לקבל אפילו יותר גישה. Sysdig TRT מאמינה ש-TeamTNT תרצה למנף את האישורים האלה, אם תהיה מסוגלת, כדי ליצור מופעי EC2 נוספים כדי שתוכל להגדיל את יכולות ההצפנה והרווחים שלה", נכתב בדו"ח.
כחלק מהניתוח שלו, הצוות חפר במספר ארנקי XMR ששימשו את TeamTNT במהלך קמפיינים של כרייה כדי להבין את ההשפעה הפיננסית של חטיפת קריפטו.
תוך שימוש בניתוח טכני של שיטות הפעולה של קבוצת האיומים במהלך פעולת Chimera, הצליח Sysdig לגלות שהיריב עלה לקורבנותיו 11,000 דולר על מופע בודד של AWS EC2 עבור כל XMR שהוא כורה. הארנקים שהצוות שלף הסתכמו בכ-40 XMR, כלומר התוקפים העלו שטר ענן של כמעט 430,000 דולר כדי לכרות את המטבעות האלה.
בהתבסס על הערכת מטבע מוקדם יותר השנה, הדו"ח העריך שערך המטבעות הללו שווה לכ-8,100 דולר, כשבחלק האחורי של המעטפה נראה כי על כל דולר שהחבר'ה הרעים מרוויחים, הם עולים לקורבנות לפחות 53 דולר בשטרות הענן בלבד.
