venerdì 23 marzo 2018

Le campagne CoinMiner si spostano sul cloud


Dopo essere stati una gran piaga per browser e sui server, i malware per il mining di criptovaluta stanno iniziando l'invasione dei servizi in cloud e con discreto successo. Sono ormai molteplici i report che, già dallo scorso mese, indicano questa nuova tendenza: da qualche tempo sono in corso tentativi di ottenere l'accesso ai sistemi Docker e Kubernetes, due tipi di applicazione che sono attualmente alla base di moltissimi servizi di cloud computing. 

Il ruolo di questi due tool è quello di aiutare gli sviluppatori a implementare applicazioni virtualizzate o anche intere configurazioni server ogni volta che l'infrastruttura di una azienda ha bisogno di maggiore potenza di calcolo per gestire picchi di traffico o attività di elaborazione aggiuntive. Quindi, se un attaccante riesce ad accedere a questi sistemi, non solo ottiene l'accesso all'intera società, ma si trova a disposizione una vasta potenza di calcolo. 

Proprio questo indicano gli ultimi report: la stragrande maggioranza dei tentativi di violazione di infrastrutture in cloud sono state finalizzate proprio ad ottenere il controllo di questa enorme potenza di calcolo, strumento assai ghiotto per i "minatori" di criptovaluta.

Gli attacchi ai sistemi cloud sono aumentati nell'ultimo anno
Il primo di questo tipo di attacchi contro Kubernetes e Docker è stato individuato all'inizio dell'anno:  alcuni ricercatori di sicurezza hanno osservato attacchi contro server honeypot (server esca che servono ad attirare i cyber criminali per poter osservare e studiare lo svolgimento di un attacco) nel corso dei quali gli attaccanti si sono impossessati di un'istanza di Kubernetes e hanno tentato di distribuire contenitori dentro Docker contenenti malware per estrarre Monero. 

Tra tutti gli attacchi, uno molto particolare è quello che ha riguardato Tesla Motors: i ricercatori di sicurezza di RedLock hanno individuato un cluster Kubernetes di proprietà Tesla sfruttato da attaccanti per estrarre Monero. E' stata Tesla stessa a chiarire che gli attaccanti non hanno sottratto alcun dato dai server e che si sono focalizzati esclusivamente sul mining di criptovaluta. 

Alcuni attacchi si verificano a causa di una problamtica nota di Kubernetes
Nella maggior parte dei casi gli attacchi sono riusciti perchè troppi amministratori di rete usano password deboli, facili da scavalcare con un brute force. Ma non è questa la totalità dei casi: alcuni ricercatori puntano il dito invece contro le complicate opzioni di configurazione di Kubernetes. Durante l'analisi di una istanza di Kubernetes è stato però scoperto che gli attaccanti eseguivano comandi sulle istanze di Kubernetes senza autenticazione, cosa che in teoria non dovrebbe essere possibile. 

Attacchi attualmente in corso!
E' importante far notare che attacchi simili sono ancora in corso. Il ricercatore di sicurezza Robbie Wiggins ha individuato ieri un cluster di 48 nodi in cui due attaccanti stanno combattendo contro le risorse dei server. Cosa che ribadisce che questi attacchi sono una parte di un quadro più ampio, quadro che ha iniziato a prendere forma lo scorso anno quando si è molto ridotta a distribuzione dei ransomware ed è al contrario esplosa quella di malware per il mining. Le campagne passate avevano obiettivi dei più svariati (database, browser, CMS, CRM...), mancava solo il cloud all'appello. Ora c'è. 

Nessun commento:

Posta un commento