نشر باحثو الأمن السيبراني في الوحدة 42 ، فريق الاستخبارات في Paolo Alto Networks ، ملفًا شخصيًا لحملة برامج ضارة جديدة تستهدف مجموعات Kubernetes ويمكن استخدامها لأغراض cryptojacking.
Cryptojacking هو مصطلح صناعي لهجمات التعدين الخفي الذي يعمل عن طريق تثبيت البرامج الضارة التي تستخدم قوة معالجة الكمبيوتر للتعدين من أجل العملات المشفرة – غالبًا Monero (XMR) – دون موافقة المستخدم أو علمه.
مجموعة Kubernetes هي مجموعة من العقد التي تُستخدم لتشغيل التطبيقات المعبأة في حاويات عبر أجهزة وبيئات متعددة ، سواء كانت افتراضية أو فعلية أو قائمة على السحابة. وفقًا لفريق الوحدة 42 ، تمكن المهاجمون الذين يقفون وراء البرنامج الضار الجديد من الوصول في البداية عبر Kubelet الذي تم تكوينه بشكل خاطئ – وهو اسم وكيل العقدة الأساسي الذي يعمل على كل عقدة في المجموعة – والذي سمح بالوصول المجهول. بمجرد اختراق مجموعة Kubelet ، كانت البرامج الضارة تهدف إلى الانتشار عبر أكبر عدد ممكن من الحاويات ، مما أدى في النهاية إلى إطلاق حملة cryptojacking.
أعطت الوحدة 42 لقب “Hildegard” للبرامج الضارة الجديدة وتعتقد أن TeamTNT هو التهديد الفاعل الذي يقف وراءها ، وهي مجموعة قامت سابقًا بحملة لسرقة بيانات اعتماد Amazon Web Services ونشر تطبيق Monero للتعدين الخفي على ملايين عناوين IP باستخدام الروبوتات الخبيثة.
لاحظ الباحثون أن الحملة الجديدة تستخدم أدوات ونطاقات مماثلة لتلك المستخدمة في عمليات TeamTNT السابقة ، لكن البرامج الضارة الجديدة لديها قدرات مبتكرة تجعلها “أكثر تخفيًا واستمرارية”. Hildegard ، في ملخصهم الفني:
“يستخدم طريقتين لإنشاء اتصالات القيادة والتحكم (C2): قذيفة عكسية tmate وقناة محادثة عبر الإنترنت (IRC) ؛ يستخدم اسم عملية Linux معروفًا (مجموعة حيوية) لإخفاء العملية الضارة ؛ يستخدم تقنية حقن مكتبة تعتمد على LD_PRELOAD لإخفاء العمليات الضارة ؛ لتشفير الحمولة الضارة داخل ثنائي لجعل التحليل الثابت الآلي أكثر صعوبة. “
من حيث التسلسل الزمني ، تشير الوحدة 42 إلى أن المجال C2 borg[.]تم تسجيل wtf في 24 ديسمبر من العام الماضي ، مع دخول خادم IRC لاحقًا إلى الإنترنت في 9 يناير. تم تحديث العديد من البرامج النصية الضارة بشكل متكرر ، وحصلت الحملة على قوة تجزئة تبلغ 25.05 كيلو هرتز / ثانية. اعتبارًا من 3 فبراير ، وجدت الوحدة 42 أنه تم تخزين 11 XMR (حوالي 1500 دولار) في المحفظة المرتبطة.
لكن منذ اكتشاف الفريق الأولي ، كانت الحملة غير نشطة ، مما دفع الوحدة 42 إلى المجازفة بأن “حملة التهديد ربما لا تزال في مرحلة الاستطلاع والتسليح”. بناءً على تحليل قدرات البرامج الضارة والبيئات المستهدفة ، يتوقع الفريق أن هجومًا واسع النطاق قيد الإعداد ، مع احتمال حدوث عواقب بعيدة المدى:
“يمكن للبرامج الضارة الاستفادة من موارد الحوسبة الوفيرة في بيئات Kubernetes للتشفير ومن المحتمل أن تقوم بسرقة البيانات الحساسة من عشرات إلى آلاف التطبيقات التي تعمل في المجموعات.”
نظرًا لحقيقة أن مجموعة Kubernetes تحتوي عادةً على أكثر من مضيف واحد ، وأن كل مضيف يمكنه بدوره تشغيل عدة حاويات ، تؤكد الوحدة 42 أن مجموعة Kubernetes المختطفة يمكن أن تؤدي إلى حملة تشفير برامج ضارة مربحة بشكل خاص. بالنسبة للضحايا ، يمكن أن يتسبب اختطاف موارد نظامهم من خلال مثل هذه الحملة في حدوث اضطراب كبير.
غني بالميزات وأكثر تعقيدًا من جهود TeamTNT السابقة ، ينصح الباحثون العملاء باستخدام إستراتيجية أمان سحابية تنبه المستخدمين إلى تكوين Kubernetes غير كافٍ للبقاء محميًا ضد التهديد الناشئ.
