Microsoft met en garde contre les attaques de cryptominage sur les clusters Kubernetes

0

Microsoft met en garde contre une série d’attaques en cours compromettant les clusters Kubernetes exécutant des instances d’apprentissage automatique Kubeflow pour déployer des conteneurs malveillants qui extraient les crypto-monnaies Monero et Ethereum.

Les attaques avaient commencé vers la fin du mois de Mai, lorsque les chercheurs en sécurité de Microsoft ont observé une augmentation soudaine des déploiements de modules d’apprentissage machine TensorFlow.

« L’explosion des déploiements sur les différents clusters a été simultanée », a déclaré Yossi Weizman, chercheur principal en sécurité chez Microsoft.

« Cela indique que les attaquants ont scanné ces clusters à l’avance et ont maintenu une liste de cibles potentielles, qui ont ensuite été attaquées en même temps. »

Les clusters Kubernetes utilisés pour extraire du Monero et de l’Ethereum

Alors que les pods étaient légitimes à partir du référentiel officiel Docker Hub, les attaquants les ont modifiés pour extraire de la crypto-monnaie sur des clusters Kubernetes compromis en déployant des pipelines ML à l’aide de la plate-forme Kubeflow Pipelines.

Pour obtenir un accès initial aux clusters et déployer les mineurs de crypto-monnaie, les attaquants utilisent des tableaux de bord Kubeflow exposés à Internet, qui ne devraient être ouverts qu’à un accès local.

Les pirates informatiques déploient au moins deux pods distincts sur chacun des clusters piratés : un pour l’extraction de CPU et un pour l’extraction de GPU. ]

XMRig est utilisé pour extraire la crypto-monnaie Monero à l’aide du processeur, tandis qu’Ethminer est installé pour extraire de l’Ethereum sur le GPU.

Les pods malveillants utilisés dans cette campagne active sont nommés à l’aide du modèle séquentiel-pipeline-{random pattern}.

« L’attaque est toujours active et les nouveaux clusters Kubernetes qui exécutent Kubeflow sont compromis », a averti Weizman.

microsoft kubernetes
Pipelines Kubeflow (Microsoft)

Continuation des attaques précédentes

Cette campagne fait suite à une campagne similaire d’Avril 2020, qui a également abusé de puissants clusters Kubernetes dans le cadre d’une campagne de crypto-mining à grande échelle.

Contrairement à cette campagne, lorsque les attaquants ont utilisé les Pipelines Kubeflow pour déployer des pipelines ML, les attaques d’Avril 2020 ont abusé des notebooks Jupyter.

Même si Microsoft a détecté plusieurs autres campagnes ciblant les clusters Kubernetes dans le passé exploitant des services exposés à Internet, la campagne d’avril 2020 était la première fois qu’une attaque ciblait spécifiquement les environnements Kubeflow.

Il est conseillé aux administrateurs de toujours activer l’authentification sur les tableaux de bord Kubeflow si leur exposition à Internet ne peut être évitée et de surveiller leurs environnements (conteneurs, images et processus qu’ils exécutent).

Les chercheurs de l’Unité 42 ont également partagé des informations sur Siloscape, le tout premier malware qui a ciblé les conteneurs Windows, dans le but final de compromettre et de créer des portes dérobées sur les clusters Kubernetes.

Contrairement à d’autres logiciels malveillants qui ciblent les environnements cloud principalement axés sur le cryptojacking, Siloscape expose l’infrastructure compromise à un plus large éventail d’activités malveillantes.

Il s’agit notamment d’attaques de ransomware, de vol d’identifiants, d’exfiltration de données et même d’attaques de chaîne d’approvisionnement extrêmement désastreuses.

Laisser un commentaire