Các nhà nghiên cứu an ninh mạng tại Đơn vị 42, nhóm tình báo tại Palo Alto Networks, đã công bố hồ sơ về một chiến dịch phần mềm độc hại mới nhắm mục tiêu vào các cụm Kubernetes và có thể được sử dụng cho mục đích tấn công tiền điện tử.
“Cryptojacking” là một thuật ngữ trong ngành để chỉ các cuộc tấn công khai thác tiền điện tử lén lút hoạt động bằng cách cài đặt phần mềm độc hại sử dụng sức mạnh xử lý của máy tính để khai thác tiền điện tử – thường là Monero (XMR) – mà không có sự đồng ý hoặc biết của người dùng.
Cụm Kubernetes là một tập hợp các nút được sử dụng để chạy các ứng dụng được chứa trong nhiều máy và môi trường, cho dù là ảo, vật lý hay dựa trên đám mây. Theo nhóm Đơn vị 42, những kẻ tấn công đằng sau phần mềm độc hại mới đã giành được quyền truy cập ban đầu thông qua một Kubelet bị định cấu hình sai – tên của tác nhân nút chính chạy trên mỗi nút trong cụm – cho phép truy cập ẩn danh. Khi cụm Kubelet bị xâm phạm, phần mềm độc hại này nhằm mục đích lây lan qua số lượng tối đa các vùng chứa nhất có thể, cuối cùng khởi động một chiến dịch tấn công tiền điện tử.
Đơn vị 42 đã đặt biệt danh “Hildegard” cho phần mềm độc hại mới và tin rằng TeamTNT là tác nhân đe dọa đằng sau nó, một nhóm trước đây đã thực hiện chiến dịch đánh cắp thông tin đăng nhập của Amazon Web Services và phát tán ứng dụng khai thác Monero tàng hình tới hàng triệu IP địa chỉ sử dụng botnet phần mềm độc hại.
Các nhà nghiên cứu lưu ý rằng chiến dịch mới sử dụng các công cụ và miền tương tự với các công cụ và miền của các hoạt động TeamTNT trước đó nhưng phần mềm độc hại mới có các khả năng cải tiến khiến nó “tàng hình và bền bỉ hơn”. Hildegard, trong bản tóm tắt kỹ thuật của họ:
“Sử dụng hai cách để thiết lập kết nối lệnh và điều khiển (C2): trình bao đảo ngược tmate và kênh Trò chuyện chuyển tiếp Internet (IRC); Sử dụng tên quy trình Linux đã biết (bioset) để ngụy trang quy trình độc hại; Sử dụng kỹ thuật đưa thư viện dựa trên LD_PRELOAD để ẩn các quy trình độc hại; Mã hóa tải trọng độc hại bên trong tệp nhị phân để làm cho phân tích tĩnh tự động khó khăn hơn. “
Về niên đại, Đơn vị 42 chỉ ra rằng tên miền C2 “borg.wtf” đã được đăng ký vào ngày 24 tháng 12 năm 2020, với máy chủ IRC sau đó sẽ trực tuyến vào ngày 9 tháng 1. Một số tập lệnh độc hại đã thường xuyên được cập nhật và chiến dịch đã sức mạnh băm khoảng 25,05 kilohashes mỗi giây. Kể từ ngày 3 tháng 2, Đơn vị 42 nhận thấy rằng 11 XMR (khoảng 1.500 đô la) đã được lưu trữ trong ví được liên kết.
Tuy nhiên, kể từ phát hiện ban đầu của nhóm, chiến dịch đã không hoạt động, khiến Đơn vị 42 mạo hiểm rằng “Chiến dịch đe dọa có thể vẫn đang trong giai đoạn trinh sát và vũ khí hóa.” Tuy nhiên, dựa trên phân tích về khả năng của phần mềm độc hại và môi trường mục tiêu, nhóm dự đoán rằng một cuộc tấn công quy mô lớn hơn đang diễn ra, với những hậu quả tiềm ẩn sâu rộng hơn:
“Phần mềm độc hại có thể tận dụng tài nguyên máy tính dồi dào trong môi trường Kubernetes để tấn công tiền điện tử và có khả năng lấy cắp dữ liệu nhạy cảm từ hàng chục đến hàng nghìn ứng dụng đang chạy trong cụm.”
Do một cụm Kubernetes thường chứa nhiều hơn một máy chủ duy nhất và đến lượt nó, mỗi máy chủ có thể chạy nhiều vùng chứa, Đơn vị 42 nhấn mạnh rằng một cụm Kubernetes bị tấn công có thể dẫn đến một chiến dịch tấn công bằng phần mềm độc hại đặc biệt sinh lợi. Đối với nạn nhân, việc chiếm đoạt tài nguyên hệ thống của họ bằng một chiến dịch như vậy có thể gây ra gián đoạn đáng kể.
Đã có nhiều tính năng và phức tạp hơn so với các nỗ lực TeamTNT trước đó, các nhà nghiên cứu đã khuyên khách hàng sử dụng chiến lược bảo mật đám mây sẽ cảnh báo người dùng về cấu hình Kubernetes không đủ để luôn được bảo vệ trước mối đe dọa mới xuất hiện.
.
