Специалисты по безопасности из команды Unit 42 компании Palo Alto Networks сообщают, что на кластеры Kubernetes готовится атака с использованием ПО Hildegaard. Его разработала группа TeamTNT.
Впервые этот зловред был обнаружен в январе 2021 года, при этом он явно очень новый, поскольку связанный с ним домен зарегистрировали в конце декабря 2020 года. Программа призвана атаковать контейнеры Kubernetes, причём закрепившись в одном из них, она пытается проникнуть и в другие.
После этого система запускает майнинг криптовалют, что истощает системные ресурсы, вызывая отказ в обслуживании и нарушая работу приложений в заражённом кластере. Помимо этого, потенциально ПО может воровать конфиденциальные данные из приложений в атакованном кластере.
Специалисты Unit 42 заявили, что пока Hildegaard находится в неактивном состоянии, то есть, не используется для атак. Это указывает на ранний этап подготовки. Между тем, эксперты полагают, что скоро ПО будет задействовано. При этом заявлено, что зловред умеет маскировать свою активность, что затрудняет автоматический статический анализ, а сама кампания TeamTNT — одна из самых сложных атак, направленных на Kubernetes. Для неё разработана сложная тактика и методы маскировки.
Отмечается, что ранее похожие методики применялись против контейнеров Docker, однако захват кластера Kubernetes может быть более прибыльным, чем захват хоста Docker. Palo Alto Networks говорит, что её система Prisma Cloud защиает кластеры от этой угрозы с помощью функций Runtime Protection, Cryptominer Detection и Prisma Cloud Compute Kubernetes Compliance Protection.