Amenințările la adresa infrastructurii native din cloud sunt în creștere, în special pe măsură ce atacatorii vizează resursele cloud și containerele pentru a-și alimenta operațiunile ilicite de criptomining. În cea mai recentă întorsătură, infractorii cibernetici fac ravagii în resursele cloud, atât pentru a propaga, cât și a conduce întreprinderile de criptojacking în scheme costisitoare, care le costă victimelor aproximativ 50 de dolari în resurse cloud pentru fiecare criptomonedă în valoare de 1 dolar pe care escrocii îl extrag din aceste rezerve de calcul.
Aceasta este conform unui nou raport publicat astăzi de la Sysdig, care arată că, deși băieții răi vor ataca fără discernământ orice resurse slabe de cloud sau container pe care le pot pune mâna pentru a alimenta schemele de criptomining care fac bani, ei sunt, de asemenea, inteligent strategic în acest sens.
De fapt, multe dintre cele mai viclene atacuri ale lanțului de aprovizionare cu software sunt în mare parte concepute pentru a genera criptomineri prin intermediul imaginilor de containere infectate. Atacatorii nu numai că folosesc dependențele de codul sursă cel mai frecvent considerate în atacurile ofensive ale lanțului de aprovizionare, ci, de asemenea, folosesc imaginile de containere rău intenționate ca un vehicul eficient de atac, potrivit Sysdig.Raportul 2022 privind amenințările cloud-native. "
Criminalii cibernetici profită de tendința comunității de dezvoltare de a partaja cod și proiecte open source prin imagini de containere prefabricate prin registre de containere precum Docker Hub. Imaginile containerului au tot software-ul necesar instalat și configurat într-un volum de lucru ușor de implementat. Deși aceasta este o economie serioasă de timp pentru dezvoltatori, deschide, de asemenea, o cale pentru atacatori de a crea imagini care au încărcături utile rău intenționate încorporate și apoi de a genera platforme precum DockerHub cu produsele lor rău intenționate. Tot ce este nevoie este ca un dezvoltator să execute o cerere de extragere Docker de pe platformă pentru a rula acea imagine rău intenționată. În plus, descărcarea și instalarea Docker Hub sunt opace, ceea ce face și mai dificilă identificarea potențialului de probleme.
„Este clar că imaginile containerului au devenit un vector real de atac, mai degrabă decât un risc teoretic”, a explicat raportul, pentru care Sysdig Threat Research Team (TRT) a trecut printr-un proces de o lună de examinare a imaginilor containerelor publice încărcate de utilizatori din întreaga lume pe DockerHub pentru a găsi instanțe rău intenționate. „Metodele folosite de actorii rău intenționați descrise de Sysdig TRT sunt direcționate în mod special către sarcinile de lucru din cloud și container.”
Vânătoarea echipei a scos la suprafață peste 1,600 de imagini rău intenționate care conțineau criptomineri, uși din spate și alte programe malware deghizate în software popular legitim. Criptominerii au fost de departe cei mai răspândiți, reprezentând 36% din probe.
„Echipele de securitate nu se mai pot amăgi cu ideea că „containerele sunt prea noi sau prea efemere pentru ca actorii amenințărilor să le deranjeze””, spune Stefano Chierici, cercetător senior în securitate la Sysdig și coautor al raportului. „Atacatorii sunt în cloud și iau bani reali. Prevalența ridicată a activității de criptojacking este atribuită riscului scăzut și recompensei mari pentru făptuitori.”
TeamTNT și Chimera
Ca parte a raportului, Chierici și colegii săi au făcut și o analiză tehnică aprofundată a tacticilor, tehnicilor și procedurilor (TTP) ale grupului de amenințări TeamTNT. Activ din 2019, grupul, conform unor surse, a compromis peste 10,000 de dispozitive cloud și container în timpul uneia dintre cele mai răspândite campanii de atac, Chimera. Este cel mai bine cunoscut pentru activitatea de criptojacking a viermilor și, conform raportului, TeamTNT continuă să își rafineze scripturile și TTP-urile în 2022. De exemplu, acum conectează scripturi cu serviciul AWS Cloud Metadata pentru a valorifica acreditările asociate cu o instanță EC2 și pentru a obține acces la alte resurse legate de o instanță compromisă.
„Dacă există permisiuni excesive asociate cu aceste acreditări, atacatorul ar putea obține și mai mult acces. Sysdig TRT consideră că TeamTNT ar dori să folosească aceste acreditări, dacă este capabil, pentru a crea mai multe instanțe EC2, astfel încât să-și poată crește capacitățile și profiturile de criptominere”, se arată în raport.
Ca parte a analizei sale, echipa a săpat într-o serie de portofele XMR utilizate de TeamTNT în timpul campaniilor de minerit pentru a afla impactul financiar al criptojacking-ului.
Utilizând analiza tehnică a practicilor operaționale ale grupului de amenințări în timpul operațiunii Chimera, Sysdig a reușit să constate că adversarul le-a costat victimelor 11,000 USD pe o singură instanță AWS EC2 pentru fiecare XMR pe care l-a extras. Portofelele pe care echipa le-a recuperat s-au ridicat la aproximativ 40 XMR, ceea ce înseamnă că atacatorii au ridicat o bancnotă cloud de aproape 430,000 USD pentru a extrage acele monede.
Folosind evaluarea monedelor de la începutul acestui an, raportul a estimat că valoarea acelor monede este egală cu aproximativ 8,100 de dolari, iar din spatele plicului arătând că pentru fiecare dolar câștigat de băieții răi, acestea le costă victimelor cel puțin 53 de dolari doar în bancnote cloud.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
