Среди охотников за криптовалютой наметился новый тренд: злоумышленники атакуют Kubernetes и Docker — инструменты, упрощающие развертывание и управление приложениями в облачных контейнерах. Взломав их, мошенники могут получить доступ к значительным вычислительным мощностям.

Очередное проникновение в облачный кластер заметил исследователь безопасности Робби Виггинс (Robbie Wiggins). Два криптоджекера боролись за возможность майнить в системе, состоящей из 48 узлов.

Искатели золота XXI века проявляли интерес к Kubernetes еще в 2017 году. Тогда злоумышленники воспользовались контейнерами, владельцы которых не озаботились защитить консоли управления паролем, и развернули на них кампанию по добыче биткойнов.

С начала 2018 года ИБ-эксперты засекли несколько атак на организованные ими ловушки, что позволило понять механизм атак на облачные кластеры. Так, в январе исследование провели специалисты компании Sysdig. Попавшиеся на приманку киберпреступники пытались запустить в контейнерах Docker майнер биткойнов, однако не справились с этой задачей, допустив ошибку в коде.

Аналогичным образом попытку криптомайнинга в феврале 2018 года записали и изучили эксперты компании Aqua Security. Заранее запретив запуск контейнеров на ВМ-ловушке, аналитики смогли наблюдать, как злоумышленники перепробовали несколько способов загрузить в систему и запустить майнер Monero, меняя стратегию после нескольких неудачных попыток.

Кроме экспериментов, известны и случаи реальных атак. Одной из самых резонансных стало внедрение зловреда, добывавшего криптовалюту, на серверы Tesla Motors. Вредоносное ПО попало в инфраструктуру компании через незащищенный фреймворк Kubernetes. Майнер успешно работал на своих создателей с 2017 года, и далеко не сразу попался на глаза аналитикам.

Эксперты отмечают, что большинство атак происходит из-за того, что сотрудники компаний используют на ресурсах, имеющих выход в Интернет, слабые пароли, легко вычисляемые методом брутфорса, или вообще забывают их защитить. Однако это не единственная причина взломов. В середине марта Александр Урчиоли (Alexander Urcioli), старший специалист по безопасности компании Handy HQ, сообщил о майнере, запущенном в контейнер Docker при помощи Kubelet, компонента Kubernetes. Как удалось выяснить эксперту, Kubelet в дефолтной конфигурации принимает API-команды от неавторизованных пользователей.

Категории: Главное, Хакеры