Un malware per il mining di Monero colpisce Kubernetes
- Kuberflow, un toolkit per l'apprendimento automatico, ha recentemente subito un attacco informatico.
- L'hacker ha utilizzato i nodi del sistema per il mining di un privacy coin, Monero (XMR).
- I ricercatori ritengono che l'hacker abbia ottenuto l'accesso tramite una dashboard collegata ad Internet.
Il toolkit di Kubernetes per l’apprendimento automatico, Kuberflow, è stato recentemente colpito da un attacco informatico, e di conseguenza, secondo un recente rapporto di Microsoft, ha avuto effetto su ampie fasce di cluster di container.
Che cos’è successo?
Copy link to sectionCome alcuni sapranno, Kuberflow è un progetto open-source che ruota attorno ad una struttura popolare per svolgere attività di apprendimento automatico. Tuttavia, una recente analisi ha rivelato che un’immagine sospetta di Kuberflow è stata diffusa in aprile, raggiungendo migliaia di cluster.
Tutto ha avuto origine da un unico archivio pubblico, il che motivo per ulteriori indagini. Dopo aver esaminato la questione, i ricercatori hanno scoperto che l’immagine esegue un malware crittografico open-source, utilizzato per il mining di Monero (XMR).
Il ricercatore sulla sicurezza dell’Azure Security Center di Microsoft, Yossi Weizman, ha spiegato che i nodi utilizzati per l’apprendimento automatico sono piuttosto potenti. Questo è probabilmente il motivo per cui sono stati presi di mira per il crypto mining.
Come hanno avuto accesso gli hacker?
Copy link to sectionHa anche parlato di com’è stato possibile che Kuberflow venisse usato come punto d’ingresso per l’attacco. Weizman ha detto che tutto ciò di cui gli aggressori avevano bisogno era di ottenere in qualche modo l’accesso a Kuberflow, e che da lì avrebbero avuto a disposizione svariati modi per diffondere la misteriosa immagine. Dato che Kuberflow è un servizio con vari container, vari compiti vengono eseguiti come container nel cluster.
“Il framework è diviso in diversi spazi [container], che sono una raccolta di servizi Kubeflow. Questi spazi sono tradotti in spazi Kubernetes nei quali vengono dispiegate le risorse“, ha detto.
Nel frattempo, l’intera funzionalità del progetto è disponibile tramite un server API, che si collega a una dashboard. Tale dashboard utilizza la leva per la gestione di vari compiti, ma di solito a questa dashboard si può accedere solo attraverso un gateway interno, che si trova ai margini di un cluster. Molti utenti spesso fanno sì che le loro dashboard siano collegate ad internet, per la facilità d’uso. Ed è questo che sembra essere stato il punto d’ingresso per gli hacker che hanno colpito in aprile.
Da lì in poi, l’hacker aveva ancora molteplici metodi per infettare il sistema. Naturalmente, Kuberflow ha delle protezioni contro questi tipi di attacchi, il che implica che gli amministratori controllino le dashboard esposte nel caso in cui Kuberflow venga distribuito all’interno di un cluster.
Questo è stato il primo attacco informatico conosciuto che ha sfruttato Kuberflow per entrare nei cluster, anche se la tecnologia che usa i container viene spesso presa di mira nelle campagne di crypto mining. Va notato anche che non era la prima volta che Kuberflow stesso era al centro di una campagna di mining di Monero.
