Compromessi alcuni cluster Microsoft Azure per il mining di Monero

Compromessi alcuni cluster Microsoft Azure per il mining di Monero

L'intrusione è avvenuta tramite l'ambiente Kubeflow, a causa di una modifica condotta lato utente che ha esposto il servizio dashboard verso Internet

di pubblicata il , alle 16:41 nel canale Sicurezza
AzureMicrosoft
 

Alcuni cluster di sistemi ad alte prestazioni facenti parte del servizio di cloud computing Microsoft Azure sono stati compromessi di recente da attaccanti non ancora identificiati, così da poter minare criptovalute a spese dei clienti del servizio cloud di Microsoft.

I nodi hanno rappresentato un bersaglio ideale per le attività di cryptojacking: i cluster infetti erano adibiti all'esecuzione di Kubeflow, un framework open-source per applicazioni machine learning in Kubernetes. Le attività machine learning richiedono di norma vaste quantità di risorse di calcolo. La possibilità di ri-orientarle verso quei carichi di lavoro computazionalmente onerosi e necessari per minare criptovalute ha permesso agli attaccanti di trovare un modo di accumulare considerevoli quantità di monentine digitali con un costo pressoché nullo.

Microsoft ha dichiarato che i cluster compromessi sono nell'ordine di grandezza delle "decine". Molti di essi eseguivano un'immagine reperibile su un archivio pubblico, utilizzata con grande probabilità per liberarsi dall'onere di doverne creare una da zero. Le indagini hanno però evidenziato come tale immagine contenesse una porzione di codice per il mining occulto della criptovaluta Monero.

Dopo aver individuato i cluster infetti, Microsoft ha cercato di capire come siano state compromesse le macchine. La dashboard di Kubeflow viene, per questioni di sicurezza, resa accessibile come impostazione di default solamente tramite istio ingress, un gateway che ha lo scopo di evitare l'esposizione di servizi su Internet così che non sia possibile accedere e operare cambiamenti non autorizzati.

Yossi Weizman, ricercatore di sicurezza per Azure Security Center, ha osservato che quelle impostazioni sono state cambiate: "Pensiamo che qualche utente abbia scelto di fare ciò per convenienza. Senza questa operazione l'accesso alla dashboard richiederebbe un tunneling tramite le API server Kubernetes in maniera non immediata. Esponendo il servizio su Internet invece si potrebbe accedere direttamente alla dashboard. Questa operazione permette di accedere in maniera non sicura alla dashboard Kubeflow, che a sua volta consente a chiunque di compiere operazioni come l'allestimento di nuovi container nel cluster". Una volta che gli attaccanti hanno accesso alla dashboard possono infine allestire container con una backdoor all'interno del cluster così da poter mantenere una porta d'accesso a loro uso e consumo.

"Azure Security Center ha già rilevato svariate campagne contro cluster Kubernetes in passato e che hanno avuto un vettore d'accesso simile: un servizio esposto su Internet. Questa però è la prima volta che abbiamo identificato un attacco che prende di mira nello specifico gli ambienti Kubeflow" sottolinea Weizeman, che indica poi alcune misure che gli utenti possono adottare per verificare se i loro cluster siano stati compromessi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6913 Giugno 2020, 12:52 #1
Monero fa le cose in grande; a suo tempo avevano preso di mira le estensioni dei browser per implementare codice per minare coin; adesso avrà pensato di andarci giù di brutto in modo ancor più sofisticato.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^