هجمات تعدين التشفير التي تستهدف مجموعات Kubernetes عبر مثيلات kubeflow
كشف باحثو الأمن السيبراني يوم الثلاثاء عن حملة جديدة واسعة النطاق تستهدف عمليات نشر Kubeflow لتشغيل حاويات تعدين Cryptocurrency الخبيثة
كشف باحثو الأمن السيبراني يوم الثلاثاء عن حملة جديدة واسعة النطاق تستهدف عمليات نشر Kubeflow لتشغيل حاويات تعدين Cryptocurrency الخبيثة.
تضمنت الحملة النشر Tensorflow قرون على مجموعات Kubernetes ، مع القرون المشروعة صور TensorFlow من حساب Docker Hub الرسمي. ومع ذلك ، تم تكوين صور الحاوية لتنفيذ أوامر Rogue التي تعاني من عملات مشفرة. وقالت Microsoft إن عمليات النشر شهدت ارتفاعًا في نهاية شهر مايو.
kubeflow هي منصة تعلم آلي مفتوحة المصدر مصممة لنشر سير عمل التعلم الآلي على Kubernetes، خدمة تزامن تستخدم لإدارة وتوسيع عبء عمل الحاويات عبر مجموعة من الآلات.
تم تحقيق هذا النشر ، في حد ذاته ، من خلال الاستفادة من Kubeflow ، الذي يعرض وظائف واجهة المستخدم عبر لوحة القيادة التي يتم نشرها في الكتلة. في الهجوم الذي لاحظته Microsoft ، استخدم الخصوم لوحة القيادة المركزية كنقطة دخول لإنشاء خط أنابيب لتشغيل صور TensorFlow التي تؤدي مهام تعدين العملة المشفرة.
“لقد كانت انفجار عمليات النشر على مختلف المجموعات في وقت واحد. وهذا يشير إلى أن المهاجمين قاموا بمسح هذه المجموعات مقدمًا وحافظوا على قائمة بالأهداف المحتملة ، والتي تعرضت لاحقًا للهجوم في نفس الوقت” قال في تقرير.
التدخلات أيضا صدى هجمات مماثلة لوحظه مركز أمن Microsoft Azure في أبريل الماضي والذي أساء معاملة لوحات معلومات Kubeflow المعرضة للإنترنت لنشر حاوية خلفية لعملية تعدين التشفير. أخبر Weizman The Hacker News أنه لا يوجد دليل على أن الحملتين تم تنفيذهما من قبل ممثلي التهديد نفسه.
ويقال إن الهجمات المستمرة قد استخدمت صورتين مختلفتين لـ TensorFlow-الموسومة “الأحدث” و “أحدث GPU”-لتشغيل الكود الضار. يعد استخدام صور TensorFlow المشروعة أيضًا تصميمًا ذكيًا لتجنب الكشف عن أن حاويات Tensorflow سائدة في أعباء العمل القائمة على التعلم الآلي.
علاوة على ذلك ، قالت Microsoft إن المهاجمين قادرون على الاستفادة من الصور لتشغيل مهام GPU باستخدام CUDA ، وبالتالي تمكين الخصم من “زيادة مكاسب التعدين من المضيف”.
وقال ويزمان: “كجزء من تدفق الهجوم ، قام المهاجمون أيضًا بنشر حاوية استطلاع (أ) تستفسر عن معلومات حول البيئة مثل معلومات GPU ووحدة المعالجة المركزية ، كتحضير لنشاط التعدين”. “هذا ركض أيضًا من حاوية تنسورفورو.”
يأتي التطوير بعد أيام من الكشف عن فريق Balo Alto Networks’s 42 Threat Intelligence عن شكل جديد من البرامج الضارة المسمى Emploxt المصمم لتسوية مجموعات Kubernetes من خلال حاويات Windows.
يوصى باستخدام المستخدمين الذين يقومون بتشغيل kubeflow للتأكد من أن لوحة القيادة المركزية غير معرضة بشكل غير مؤلم للإنترنت ، وإذا تم اعتبارها ضرورية ، فإنها تتطلب حمايتها خلف حواجز المصادقة.
نشرت Microsoft أيضًا ملف مصفوفة التهديد لـ Kubernetes لفهم سطح الهجوم بشكل أفضل للبيئات الحاوية ومساعدة المنظمات في تحديد الفجوات الحالية في دفاعاتها لتأمين ضد التهديدات التي تستهدف kubernetes.
في وقت سابق من هذا أبريل ، تعاونت الشركة ، إلى جانب أعضاء آخرين في مركز الدفاع المستنير ، لإصدار ما يسمى ATT & CK لمصفوفة الحاويات يعتمد ذلك على مصفوفة تهديد Kubernetes للكشف عن “المخاطر المرتبطة بالحاويات ، بما في ذلك عمليات التمييز الخاطئة التي غالبًا ما تكون المتجه الأولي للهجمات ، وكذلك التنفيذ المحدد لتقنيات الهجوم في البرية.”
