Найти тему
IS-Systems

Хакеры используют системы облачного мониторинга как бэкдоры

Согласно новым исследованиям, группа киберпреступников ранее атаковавшая «облачные» платформы Docker и Kubernetes, стала использовать легитимные инструменты мониторинга облаков в качестве бэкдоров для осуществления атак.

«Насколько нам известно, это первый раз, когда злоумышленники были пойманы на использовании легитимного программного обеспечения сторонних производителей для атаки на облачную инфраструктуру», - говорится в анализе, проведенном во вторник израильской фирмой Intezer, специализирующейся на вопросах кибербезопасности.

Используя программное обеспечение под названием Weave Scope, которое используется в качестве инструмента визуализации и мониторинга для сервисов Docker и Kubernetes, хакерская группа «TeamTNT» не только создавали карту облачной среды своих жертв, но и выполняли системные команды без необходимости явно размещать вредоносный код на целевом сервере.

«TeamTNT» активны, по меньшей мере, с конца апреля этого года и специализируются на атаках неправильно настроенных Docker-серверов с целью добычи крипто-валют и создания ботнетов.

В прошлом месяце злоумышленники обновили направление своей деятельности и занялись кражей логинов Amazon Web Services путем сканирования зараженных систем Docker и Kubernetes на наличие конфиденциальной учетной информации, хранящейся в учетных данных Amazon Web Services и конфигурационных файлах.

Несмотря на то, что их исходный метод получения информации не изменился, был изменен режим получения контроля над самой инфраструктурой зараженного узла.

-2

Как только злоумышленники получают доступ к серверу жертвы, они создают новый привилегированный контейнер с чистым образом Ubuntu, используют его для запуска крипто-майнеров, получают root-доступ к серверу, создав локального привилегированного пользователя под названием 'hilde' для подключения к серверу через SSH, и, в конце концов, устанавливают Weave Scope.

«Устанавливая легитимный инструмент, такой как Weave Scope, злоумышленники получают все преимущества, как если бы они установили бэкдор на сервере, но со значительно меньшими усилиями и без необходимости использования вредоносного ПО», - сообщила Николь Фишбейн из Intezer.

Хотя конечной целью TeamTNT, по-видимому, является монетизация путем добычи крипто-валюты, многочисленные майнинг-группы успешны и в компрометации корпоративных систем отчасти из-за наличия открытых API, что делает их привлекательной мишенью для киберпреступников».

Рекомендуется ограничить внешний доступ к Docker API, чтобы предотвратить захват контроля над серверами злоумышленниками.

«Weave Scope» использует порт 4040 по умолчанию для публикации панели управления, и любой пользователь, имеющий доступ к сети, может ее просмотреть. Подобно порту API Docker, этот порт также должен быть закрыт или ограничен брандмауэром», - заключают исследователи.

Источник: https://is-systems.org