Una campaña única de Monero-mining afecta a Kubernetes

Una campaña única de Monero-mining afecta a Kubernetes
Escrito por:
Ali Raza
junio 12, 2020
  • Kuberflow, un juego de herramientas de aprendizaje de máquinas, recientemente sufrió un ataque de criptografía
  • El atacante usó los nodos del sistema para extraer una moneda de privacidad, Monero (XMR).
  • Los investigadores de seguridad creen que el hacker obtuvo acceso a través de un tablero expuesto en Internet.

El kit de herramientas de aprendizaje por máquina de Kubernetes, Kuberflow, fue recientemente atacado por un ciberataque único y, como resultado, afectó a grandes franjas de grupos de contenedores, según un reciente informe de Microsoft.

¿Qué ocurrió?

Como algunos sabrán, Kuberflow es un proyecto de código abierto que gira en torno a un popular marco de trabajo para la realización de tareas de aprendizaje automático. Sin embargo, un análisis reciente reveló que una imagen sospechosa de Kuberflow se desplegó en abril, llegando a miles de clusters.

¿Busca noticias rápidas, consejos y análisis de mercado? Suscríbase al boletín de Invezz, hoy.

Todo se originó en un depósito público, lo que fue más que una causa para una investigación posterior. Después de inspeccionar el asunto, los investigadores descubrieron que la imagen ejecuta un malware de criptografía de código abierto, que se utiliza para la minería de Monero (XMR).

El investigador de seguridad del Centro de Seguridad Azure de Microsoft, Yossi Weizman, explicó que los nodos que se utilizan para el aprendizaje de la máquina son bastante poderosos. Es probable que sea por eso que fueron elegidos para la minería criptográfica.

¿Cómo obtuvieron acceso los atacantes?

También habló de cómo Kuberflow pudo haber sido usado como punto de entrada para el ataque. Weizman dijo que todo lo que los atacantes necesitaban era ganar acceso de alguna manera a Kuberflow, y que tendrían numerosas formas de ejecutar una imagen maliciosa. Dado que Kuberflow es un servicio en contenedores, varias tareas se ejecutan como contenedores en el clúster.

«El marco está dividido en diferentes namespaces [contenedores], que son una colección de servicios de Kubeflow. Esos namespaces se traducen a los namespaces de Kubernetes en los que se despliegan los recursos», dijo.

Mientras tanto, toda la funcionalidad del proyecto está disponible a través de un servidor API, que se conecta a un tablero de mandos. El tablero de mandos utiliza el apalancamiento para la gestión de diversas tareas. Normalmente, este tablero sólo puede ser accedido a través de una puerta de enlace interna, que está en el borde de un clúster. Pero, muchos usuarios a menudo hacen sus tableros con acceso a Internet, por la facilidad de uso. Esto parece haber sido un punto de entrada para los hackers que atacaron en abril.

A partir de ahí, el atacante tuvo una vez más múltiples métodos para infectar el sistema. Por supuesto, Kuberflow tiene protecciones contra este tipo de ataque, que implica que los administradores comprueben en los tableros expuestos si Kuberflow se despliega alguna vez dentro de un cluster.

Este fue el primer ataque conocido que utilizó Kuberflow para entrar en los clusters, a pesar de que la tecnología de contenedores es a menudo el objetivo de las campañas de cripto-minería. También vale la pena señalar que esta no fue la primera vez que el propio Kuberflow estuvo en el centro de una campaña de minería de Monero.