A primeira operação de criptojacking para minerar a criptomoeda Dero foi rastreada visando a infraestrutura do sistema de orquestração de contêineres open source Kubernetes com APIs expostas.
Dero é uma criptomoeda promovida como uma alternativa a Monero, com garantia de anonimato ainda mais robusta. Comparada à Monero ou a outras criptomoedas, a Dero promete recompensas monetárias de mineração mais rápidas e mais altas, provavelmente por isso que chamou a atenção dos operadores de ameaças.
Em um novo relatório da CrowdStrike, os pesquisadores explicam como a campanha em andamento foi descoberta em fevereiro, depois de verificarem um comportamento incomum ao monitorar os clusters Kubernetes dos clientes. Os analistas explicam que os ataques começam com os operadores de ameaças verificando clusters Kubernetes vulneráveis e expostos, com autenticação definida como –anonymous-auth=true, o que possibilita que qualquer pessoa tenha acesso de maneira anônima à API do Kubernetes.
Depois de obter acesso à API, os operadores de ameaças implantam um daemon set chamado “proxy-api” que permite aos invasores envolver os recursos de todos os nós no cluster simultaneamente e minerar a Dero usando os recursos disponíveis. Os mineradores instalados se juntarão a um pool de mineração Dero, em que todos contribuem com poder de hash e recebem ações de quaisquer recompensas.
A Crowdstrike diz que a imagem do Docker usada na campanha de criptojacking da Dero foi hospedada no Docker Hub e é uma imagem ligeiramente modificada do CentOS 7 contendo arquivos adicionais chamados “entrypoint.sh” e “pause”.
Veja isso
Clusters kubernetes hackeados por malware via PostgreSQL
380 mil servidores de API Kubernetes expostos; 3 mil aqui
Os pesquisadores da Crowdstrike disseram não ter notado nenhuma intenção dos operadores de ameaças de se mover lateralmente, interromper a operação do cluster, roubar dados ou causar mais danos, já que a campanha parece ser 100% motivada por ganhos financeiros.
Pouco depois de a Crowdstrike ter descoberto a campanha Dero, seus pesquisadores detectaram um operador de criptojacking da Monero tentando sequestrar os mesmos recursos, eventualmente expulsando o minerador Dero.
A campanha da Monero optou por minerar no host em vez dos pods, como a Dero fez, para acessar mais recursos computacionais e obter um lucro mais significativo. A execução de processos de mineração no host os torna mais difíceis de detectar se mascarados corretamente como serviços do sistema.Embora as campanhas de cryptojacking sejam cerca de uma dúzia, minerar Dero em vez de outras moedas, como Monero, torna esta uma campanha inovadora.