Serangan Penambangan Crypto Menargetkan Cluster Kubernetes melalui Instance Kubeflow

  • Whatsapp
Serangan Penambangan Crypto Menargetkan Cluster Kubernetes melalui Instance Kubeflow

Peneliti keamanan siber pada hari Selasa mengungkapkan kampanye skala besar baru yang menargetkan penyebaran Kubeflow untuk menjalankan wadah penambangan cryptocurrency berbahaya.

Kampanye ini melibatkan penggelaran TensorFlow pod di kluster Kubernetes, dengan pod yang berjalan sah gambar TensorFlow dari akun resmi Docker Hub. Namun, gambar kontainer dikonfigurasi untuk menjalankan perintah jahat yang menambang cryptocurrency. Microsoft mengatakan penyebaran menyaksikan peningkatan menjelang akhir Mei.

Bacaan Lainnya

Kubeflow adalah platform pembelajaran mesin sumber terbuka yang dirancang untuk menerapkan alur kerja pembelajaran mesin di Kubernetes, layanan orkestrasi yang digunakan untuk mengelola dan menskalakan beban kerja dalam container di seluruh cluster mesin.

Deployment itu sendiri dicapai dengan memanfaatkan Kubeflow, yang memperlihatkan fungsionalitas UI-nya melalui dasbor yang di-deploy di cluster. Dalam serangan yang diamati oleh Microsoft, musuh menggunakan dasbor terpusat sebagai titik masuk untuk membuat saluran untuk menjalankan gambar TensorFlow yang melakukan tugas penambangan cryptocurrency.

Tim Stack Overflow

Intrusi juga bergema serangan serupa diamati oleh Pusat Keamanan Azure Microsoft April lalu yang menyalahgunakan dasbor Kubeflow yang terpapar Internet untuk menyebarkan wadah pintu belakang untuk kampanye penambangan kripto.

“Ledakan penyebaran di berbagai cluster terjadi secara bersamaan. Ini menunjukkan bahwa penyerang memindai cluster tersebut terlebih dahulu dan mempertahankan daftar target potensial, yang kemudian diserang pada saat yang sama,” Senior Security Research Engineer Microsoft Yossi Weizman berkata dalam sebuah laporan.

Serangan yang sedang berlangsung dikatakan telah menggunakan dua gambar TensorFlow yang berbeda – ditandai “terbaru” dan “terbaru-gpu” – untuk menjalankan kode berbahaya. Memanfaatkan gambar TensorFlow yang sah juga merupakan desain yang cerdas untuk menghindari deteksi karena container TensorFlow lazim dalam beban kerja berbasis pembelajaran mesin.

Lebih lanjut, Microsoft mengatakan penyerang dapat memanfaatkan gambar untuk menjalankan tugas GPU menggunakan CUDA, sehingga memungkinkan musuh untuk “memaksimalkan keuntungan penambangan dari host.”

“Sebagai bagian dari aliran serangan, para penyerang juga dikerahkan [a] wadah pengintai yang menanyakan informasi tentang lingkungan seperti informasi GPU dan CPU, sebagai persiapan untuk aktivitas penambangan,” kata Weizman. “Ini juga dijalankan dari wadah TensorFlow.”

Perkembangan ini terjadi beberapa hari setelah tim intelijen ancaman Unit 42 Palo Alto Networks mengungkapkan bentuk malware baru yang disebut Siloscope yang dirancang untuk mengkompromikan cluster Kubernetes melalui wadah Windows.

Manajemen Kata Sandi Perusahaan

Pengguna yang menjalankan Kubeflow disarankan untuk memastikan bahwa dasbor terpusat tidak terekspos secara tidak aman ke Internet, dan jika dianggap perlu, mengharuskan mereka dilindungi di balik penghalang otentikasi.

Microsoft juga telah menerbitkan matriks ancaman untuk Kubernetes untuk lebih memahami permukaan serangan lingkungan kemas dan membantu organisasi dalam mengidentifikasi celah saat ini dalam pertahanan mereka untuk mengamankan terhadap ancaman yang menargetkan Kubernetes.

Awal April ini, perusahaan, bersama anggota lain dari Center for Threat-Informed Defense bekerja sama untuk merilis apa yang disebut ATT&CK untuk matriks Wadah yang dibangun di atas matriks ancaman Kubernetes untuk mendeteksi “risiko yang terkait dengan container, termasuk kesalahan konfigurasi yang sering menjadi vektor awal serangan, serta implementasi spesifik dari teknik serangan di alam liar.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *