Compromessi alcuni cluster Microsoft Azure per il mining di Monero

Alcuni cluster di sistemi ad alte prestazioni facenti parte del servizio di cloud computing Microsoft Azure sono stati compromessi di recente da attaccanti non ancora identificiati, così da poter minare criptovalute a spese dei clienti del servizio cloud di Microsoft.

I nodi hanno rappresentato un bersaglio ideale per le attività di cryptojacking: i cluster infetti erano adibiti all'esecuzione di Kubeflow, un framework open-source per applicazioni machine learning in Kubernetes. Le attività machine learning richiedono di norma vaste quantità di risorse di calcolo. La possibilità di ri-orientarle verso quei carichi di lavoro computazionalmente onerosi e necessari per minare criptovalute ha permesso agli attaccanti di trovare un modo di accumulare considerevoli quantità di monentine digitali con un costo pressoché nullo.

Microsoft ha dichiarato che i cluster compromessi sono nell'ordine di grandezza delle "decine". Molti di essi eseguivano un'immagine reperibile su un archivio pubblico, utilizzata con grande probabilità per liberarsi dall'onere di doverne creare una da zero. Le indagini hanno però evidenziato come tale immagine contenesse una porzione di codice per il mining occulto della criptovaluta Monero.

Dopo aver individuato i cluster infetti, Microsoft ha cercato di capire come siano state compromesse le macchine. La dashboard di Kubeflow viene, per questioni di sicurezza, resa accessibile come impostazione di default solamente tramite istio ingress, un gateway che ha lo scopo di evitare l'esposizione di servizi su Internet così che non sia possibile accedere e operare cambiamenti non autorizzati.

Yossi Weizman, ricercatore di sicurezza per Azure Security Center, ha osservato che quelle impostazioni sono state cambiate: "Pensiamo che qualche utente abbia scelto di fare ciò per convenienza. Senza questa operazione l'accesso alla dashboard richiederebbe un tunneling tramite le API server Kubernetes in maniera non immediata. Esponendo il servizio su Internet invece si potrebbe accedere direttamente alla dashboard. Questa operazione permette di accedere in maniera non sicura alla dashboard Kubeflow, che a sua volta consente a chiunque di compiere operazioni come l'allestimento di nuovi container nel cluster". Una volta che gli attaccanti hanno accesso alla dashboard possono infine allestire container con una backdoor all'interno del cluster così da poter mantenere una porta d'accesso a loro uso e consumo.

"Azure Security Center ha già rilevato svariate campagne contro cluster Kubernetes in passato e che hanno avuto un vettore d'accesso simile: un servizio esposto su Internet. Questa però è la prima volta che abbiamo identificato un attacco che prende di mira nello specifico gli ambienti Kubeflow" sottolinea Weizeman, che indica poi alcune misure che gli utenti possono adottare per verificare se i loro cluster siano stati compromessi.