Lembra quando, como operador de servidor, tudo o que você tinha que se preocupar era com as pessoas procurando portas abertas e depois roubando segredos através de conchas de telnet? Esses eram os dias, hein?
As coisas ficaram muito mais complicadas quando a nuvem se popularou. Agora, os hackers estão tendo acesso a sistemas baseados em nuvem através da web, e eles estão usando-os para minerar para criptomoedas. A Microsoft acaba de encontrar uma campanha que explora a Kubernetes para instalar software de criptomining em sua nuvem Azure. Isso poderia gerar alguma moeda louca para atacantes – e custar caro aos usuários legítimos da nuvem.
Os contêineres de software são pequenas coleções de software que funcionam isoladamente um do outro, facilitando a coexistência de muitos deles no mesmo sistema. Kubernetes é um projeto de código aberto que permite que os administradores gerenciem contêineres de software em massa, e ele é executado em infraestruturas em nuvem como o Azure da Microsoft. Kubeflow é uma estrutura de código aberto que implementa o Tensorflow em cima de Kubernetes, e tensorflow é um sistema originalmente desenvolvido pelo Google para treinamento de sistemas de IA.
Os trabalhos de treinamento de IA precisam de muito poder computacional, por isso geralmente usam unidades de processamento gráfico (GPUs), que podem mastigar através de cálculos de pontos flutuantes muito rapidamente. Isso é ótimo para minerar algumas criptomoedas que usam algoritmos de prova de trabalho. Eles também dependem de muito poder computacional. Embora as GPUs não sejam apropriadas para minerar todas as provas de criptomoedas baseadas no trabalho, elas são ótimas para alguns como monero e (por enquanto até que uma mudança algorítmica planejada comece) Ethereum.
O Centro de Segurança Azure encontrou um contêiner malicioso funcionando como parte de uma implementação do Kubeflow. O contêiner estava executando um criptominer para usar o mesmo poder de computação que Kubeflow estava usando para treinar IA. Sneaky. Então, como foi chegar lá?
Como é frequentemente o caso, a má configuração do usuário foi o culpado. Kubernetes usa algo chamado Istio, que é uma estrutura para conectar serviços de software baseados em contêineres. Kubeflow usa Istio para expor um painel administrativo. Por segurança, ele usa algo chamado para fazer isso. Esse serviço só é acessível internamente, e isso é fundamental, porque a única maneira de acessá-lo é através do encaminhamento de portas sobre a API kubernetes.Istio-ingressgateway
Isso deve tornar a interface de gerenciamento para Kubeflow segura, mas alguns administradores aparentemente modificaram o Istio para tornar diretamente acessível a partir da internet pública. Isso é conveniente, mas não é uma boa ideia do ponto de vista da segurança, porque significa que os atacantes podem ver a interface de gerenciamento da internet pública. A partir daí, eles poderiam manipular o sistema para instalar seu contêiner malicioso no sistema Kubernetes.Istio-ingressgateway
Esta não é a primeira vez que as pessoas hackeam Kubernetes ou a usaram para minerar criptomoedas. Alguém defendeu uma implantação do Tesla Kubernetes Amazon Web Services em 2018, explorando um console administrativo que não estava protegido por senha e, em seguida, instalando um minerador no sistema.
Mais recentemente, em abril deste ano, a Microsoft identificou um ataque em larga escala no qual o invasor instalou dezenas de pods maliciosos (coleções de contêineres) em dezenas de clusters (grupos de máquinas executando contêineres).
No início deste mês, a Sophos também documentou uma campanha de criptominação chamada Kingminer que atacou servidores usando explorações, incluindo o RDP de força bruta, o mecanismo usado para acessar máquinas Windows remotamente.
FONTE: SOPHOS