Eine einzigartige Monero-Mining-Kampagne trifft Kubernetes

Eine einzigartige Monero-Mining-Kampagne trifft Kubernetes
Written by:
Ali Raza
12th Juni, 22:25
  • Kuberflow, ein Machine-Learning-Toolkit, erlitt kürzlich einen Kryptojacking-Angriff.
  • Der Angreifer benutzte die Knoten des Systems für das Mining einer Privacy Coin, Monero (XMR).
  • Laut Sicherheitsforschern hat sich der Hacker über ein im Internet offengelegtes Dashboard Zugang verschafft.
news-contextual-newsletter-text news-contextual-newsletter-link-text

Das Machine-Learning-Toolkit von Kubernetes, Kuberflow, wurde kürzlich von einem einzigartigen Cyberattack getroffen, der laut einem kürzlich erschienenen Microsoft-Bericht große Schwaden von Container-Clustern betraf.

Was ist passiert?

Wie einige vielleicht wissen, ist Kuberflow ein Open-Source-Projekt, bei dem es um ein populäres Rahmenwerk für die Durchführung von Machine-Learning-Aufgaben geht. Eine kürzlich durchgeführte Analyse ergab jedoch, dass ein verdächtiges Kuberflow-Image bereits im April eingesetzt wurde und Tausende von Clustern erreichte.

Sie alle stammten aus einem öffentlichen Repositorium, was alles mehr als ein Grund für weitere Untersuchungen war. Nach der Untersuchung der Angelegenheit stellten die Forscher fest, dass auf dem Bild eine Open-Source-Kryptojacking-Malware läuft, die für das Mining von Monero (XMR) verwendet wird.

Yossi Weizman, Sicherheitsforscher des Azure Security Center von Microsoft, erklärte, dass Knoten, die für Machine-Learning verwendet werden, recht leistungsfähig sind. Dies ist wahrscheinlich der Grund, warum sie für Krypto-Mining ins Visier genommen wurden.

Wie haben sich die Angreifer Zugang verschafft?

Er sprach auch darüber, wie Kuberflow als Einstiegspunkt für den Angriff benutzt worden sein könnte. Weizman sagte, die Angreifer brauchten nur irgendwie Zugang zu Kuberflow zu bekommen, und sie hätten zahlreiche Möglichkeiten, ein bösartiges Image zu verbreiten. Da Kuberflow ein containerisierter Dienst ist, laufen verschiedene Aufgaben als Container im Cluster.

Das Framework ist in verschiedene Namensräume [Container] unterteilt, die eine Sammlung von Kubeflow-Diensten darstellen. Diese Namensräume werden in Kubernetes-Namensräume übersetzt, in denen die Ressourcen bereitgestellt werden„, sagte er.

In der Zwischenzeit ist die gesamte Funktionalität des Projekts über einen API-Server verfügbar, der eine Verbindung zu einem Dashboard herstellt. Das Dashboard nutzt die Hebelwirkung zur Verwaltung verschiedener Aufgaben. Normalerweise kann auf dieses Dashboard nur über einen internen Gateway zugegriffen werden, der sich am Rande eines Clusters befindet. Viele Benutzer erstellen ihre Dashboards jedoch aus Gründen der Benutzerfreundlichkeit oft mit Zugang zum Internet. Dies scheint ein Einstiegspunkt für den Hacker gewesen zu sein, der im April zuschlug.

Von da an hatte der Angreifer wieder mehrere Methoden, das System zu infizieren. Natürlich verfügt Kuberflow über Schutzvorrichtungen gegen diese Art von Angriffen, bei denen Admins auf exponierten Dashboards nachschauen, ob Kuberflow jemals innerhalb eines Clusters eingesetzt wird.

Dies war der erste bekannte Angriff, bei dem Kuberflow benutzt wurde, um in die Cluster einzudringen, auch wenn die Containerisierung-Technologie oft das Ziel von Krypto-Mining-Kampagnen ist. Es ist auch erwähnenswert, dass dies nicht das erste Mal war, dass Kuberflow selbst im Zentrum einer Monero-Mining-Kampagne stand.

Invezz verwendet Cookies, um Ihnen eine optimale Benutzererfahrung zu ermöglichen. Mit der Nutzung von Invezz akzeptieren Sie unsere privacy policy.