2 Minuty
Kyberútoky cílí na veřejné DevOps nástroje využívané k těžbě kryptoměn
Odborníci na kybernetickou bezpečnost nedávno odhalili novou vlnu útoků, při nichž útočníci zneužívají chybné konfigurace široce používaných veřejných DevOps nástrojů k nasazení operací nelegální těžby kryptoměn. Tito neoprávnění těžaři skrytě generují hodnotné krypto tokeny, což obětem způsobuje významné náklady na elektřinu i infrastrukturu.
Výzkumný tým Wiz Threat Research identifikoval a přiřadil tuto kampaň skupině známé pod označením JINX-0132. Jejich analýza ukázala, že i když je napadáno více nástrojů, čtyři se vyskytují mezi hlavními cíli: Nomad, Consul, Docker Engine API a Gitea.
Pochopení zranitelných nástrojů
Nomad a Consul, oba z dílny HashiCorp, jsou zvláště ohrožené. Nomad slouží jako škálovatelný orchestrátor pracovních zátěží pro správu kontejnerů, virtuálních strojů a samostatných aplikací v rámci infrastrukturních clusterů. Consul poskytuje síťová řešení pro služby, zahrnující objevování služeb (service discovery) a správu konfigurací v distribuovaných aplikacích.
Docker Engine API nabízí vývojářům i automatizačním nástrojům RESTful rozhraní pro správu kontejnerů, obrazů a dalších souvisejících operací. Gitea je samohostovaná Git platforma umožňující týmový vývoj softwaru včetně hostování zdrojového kódu a code review.
Rafinované taktiky útoků JINX-0132
Skupina JINX-0132 se odlišuje v tom, jak její útoky unikají detekci. Namísto běžných metod, které často zanechávají typické stopy kompromitace, útočníci stahují škodlivé nástroje přímo z veřejných repozitářů na GitHubu. Tato taktika nezpůsobuje okamžité poplachy bezpečnostních systémů, zejména pokud nejsou napadnuté aplikace vnímány jako tradiční vstupní body.
Obzvláště šokující je rozsah této bezpečnostní hrozby. Podle zprávy až 25 % všech cloudových prostředí využívá alespoň jeden ze zmíněných čtyř zranitelných DevOps nástrojů. HashiCorp Consul se vyskytuje nejméně ve 20 % prostředí. Dále platí, že 5 % těchto instalací je dostupných z internetu a z nich má až 30 % kritické chybné nastavení.
Jak se bránit proti útokům na těžbu kryptoměn
Experti doporučují k ochraně multi-vrstvový přístup k bezpečnosti. Organizace by měly zavádět silné řízení přístupu, pravidelně provádět bezpečnostní audity a průběžně vyhodnocovat zranitelnosti. Neodkladná instalace bezpečnostních záplat i neustálý monitoring využití systémových zdrojů pomáhá odhalit neobvyklou aktivitu.
Zásadní je zabezpečit DevOps prostředí právě proti chybné konfiguraci. Firmy by měly zabránit neoprávněnému spouštění příkazů a posílit autentizační metody, aby eliminovaly riziko útoků na těžbu kryptoměn. Aktivním řešením těchto slabin lze lépe chránit podnikové infrastruktury i digitální aktiva v čím dál nebezpečnějším kyberprostoru.
Komentáře