freight-container-3396664_1280.jpg

Hackers implantam criptominerador em kubernetes

Cibercriminosos estão explorando instâncias do Argo Workflows configuradas incorretamente para implantar mineradores de criptomoeda
Da Redação
26/07/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Hackers estão explorando instâncias do Argo Workflows configuradas incorretamente para implantar mineradores de criptomoeda em clusters kubernetes, sistema de código aberto usado para automatizar a implantação, escalonamento e gerenciamento de cargas de trabalho, serviços e aplicativos em contêineres de clusters de hosts.

O Argo Workflows é o mecanismo de execução de fluxo de trabalho mais popular para kubernetes, projetado para orquestrar trabalhos paralelos e acelerar o aprendizado de máquina ou jobs de computação intensiva de processamento de dados em clusters kubernetes.

“Os invasores estão aproveitando esse vetor para implantar criptomineradores usando esse método”, revelaram pesquisadores da empresa de cibersegurança Intezer, em um relatório publicado na semana passada. Segundo eles, os operadores de ameaças obtêm acesso a esses clusters por meio de painéis do Argo expostos na internet e implantam seus próprios fluxos de trabalho maliciosos usando vários contêineres do minerador Monero, incluindo kannix/monero-miner, e um contêiner extinto que extrai a criptomoeda usando o minerador XMRig CPU/GPU.

Embora o kannix/monero-miner não esteja mais disponível no Docker Hub — repositório público onde empresas podem publicar suas soluções em forma de contêiner —, os invasores podem escolher entre algumas dezenas de outros contêineres que fazem o mesmo trabalho: minerar criptomoeda Monero usando a CPU ou a GPU (unidade de processamento gráfico).

Os pesquisadores acrescentaram que ataques em larga escala devem ser esperados, visto que centenas de implantações do Argo Workflows com as permissões erradas são expostas na internet. Eles encontraram instâncias expostas de fluxos de trabalho pertencentes a organizações de vários setores da indústria, incluindo tecnologia, finanças e logística.

Os administradores de rede são aconselhados a sempre habilitar a autenticação nos painéis do Argo Workflows se não puderem evitar a exposição na internet e a monitorar seus ambientes — contêineres, imagens e os processos que executam — quanto a atividades maliciosas.

Mais vetores de ataque do Kubernetes

As instâncias do Argo Workflows configuradas incorretamente são o vetor de ataque mais recente observado e o mais usado por operadores de ameaças para verificar e explorar outras falhas de segurança para violar clusters kubernetes.

No mês passado, por exemplo, a Microsoft alertou que gangues de criptomineração tinham como alvo a infraestrutura de aprendizado de máquina  em execução em clusters kubernetes por meio de painéis Kubeflow expostos na internet. Os invasores usaram o Kubeflow Pipelines para implantar pipelines de aprendizado de máquina que executam mineradores de criptomoeda XMRig e Ethminer em CPUs e GPUs.

Veja isso
Kubernetes comprometidos em quase 50.000 IPs
Kubernetes são atingidos por ataque de mineração de criptografia

Também em 2020, a Microsoft descobriu outra campanha de criptomineração em grande escala tentando violar clusters kubernetes usados ​​em tarefas de aprendizado de máquina que exigem muitos recursos, explorando notebooks Jupyter.

Em junho passado, pesquisadores da Unit 42, unidade de pesquisa da Palo Alto Networks, também descobriram o Siloscape, primeiro malware a ter como alvo contêineres do Windows com o objetivo final de criar backdoor em clusters kubernetes. Ao contrário de outros malwares que visam ambientes de nuvem e se concentram principalmente em cryptojacking, o Siloscape expõe os servidores comprometidos a uma gama mais ampla de atividades maliciosas, incluindo ataques de ransomware, roubo de credenciais, extração de dados e até ataques à cadeia de suprimentos. Com informações de sites internacionais.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest