2 Minutės
Kibernetinės atakos prieš populiarius DevOps įrankius kriptovaliutų kasybai
Kibernetinio saugumo specialistai neseniai atskleidė naują atakų bangą, kai piktavaliai naudojasi viešai prieinamų ir plačiai naudojamų DevOps įrankių neteisingais nustatymais, siekdami diegti kriptovaliutų kasybos programas. Tokie nelegalūs kasėjai slapta generuoja vertingus kriptovaliutos žetonus, sukelia dideles elektros energijos ir IT infrastruktūros sąnaudas nieko neįtariantiems aukoms.
Wiz Threat Research grėsmių žvalgybos komanda šią kampaniją priskyrė grupei JINX-0132. Tyrimo metu nustatyta, kad nors taikiniais tampa įvairūs DevOps įrankiai, išskirtinai dažnai atakuojami Nomad, Consul, Docker Engine API ir Gitea.
Pavojingi DevOps įrankiai
Ypač didelio dėmesio sulaukė du HashiCorp sukurti įrankiai – Nomad ir Consul. Nomad yra lankstus darbo krūvių orkestratorius, skirtas valdyti konteinerius, virtualias mašinas ir atskiras programas infrastruktūros klasteriuose. Consul užtikrina paslaugų tinklo funkcijas, tokias kaip paslaugų aptikimas ir konfigūracijos valdymas paskirstytoms sistemoms.
Docker Engine API leidžia programuotojams bei automatizacijos įrankiams REST API pagalba bendrauti su Docker dėl konteinerių, įvaizdžių ir kitų išteklių valdymo. Gitea yra lengvai talpinama Git platforma, suteikianti galimybę efektyviai bendradarbiauti kuriant programinę įrangą, su kodo saugojimo ir peržiūros funkcijomis.
JINX-0132 išmanūs atakų metodai
JINX-0132 išsiskiria tuo, kaip slaptai veikia ir išvengia aptikimo. Užuot naudoję tipiškas kompromitavimo metodikas, atakuotojai savo kenksmingus įrankius atsisiunčia tiesiai iš viešų GitHub saugyklų. Tokia taktika nepažymi įprastų saugumo signalų, ypač kai taikomi ne tradiciniai patekimo taškai.
Šios grėsmės mastas labai didelis: ataskaitų duomenimis, net 25% visų debesijos aplinkų naudoja bent vieną iš keturių pažeidžiamų DevOps įrankių. HashiCorp Consul rastas mažiausiai 20% infrastruktūrų. Pažymėtina, kad 5% tokių diegimų yra prieinami viešai, o 30% jų turi pavojingai sukonfigūruotus nustatymus.
Kaip apsisaugoti nuo kriptovaliutų kasybos atakų?
Atsižvelgiant į grėsmes, ekspertai rekomenduoja taikyti kelių sluoksnių saugumo strategiją. Organizacijos privalo užtikrinti stiprią prieigos kontrolę, reguliariai vykdyti saugumo auditus bei nuolatinius pažeidžiamumo vertinimus. Būtina nedelsiant diegti saugumo pataisas bei nuolat stebėti sistemos resursų naudojimą, kad būtų pastebėta neįprasta veikla.
Svarbu rūpintis DevOps aplinkų sauga nuo neteisingų konfigūracijų. Įmonės turėtų riboti neautorizuotų komandų vykdymą, stiprinti autentifikavimo mechanizmus ir taip užkirsti kelią galimiems kriptovaliutų kasybos bandymams. Proaktyviai šalinant šias silpnas vietas, organizacijos gali efektyviau apsaugoti savo infrastruktūrą ir skaitmeninį turtą vis agresyvesnėje kibernetinio saugumo aplinkoje.
Komentarai