مبارزه مجرمان سایبری بر سر بار کاری ابری برای کریپتومینینگ | دانش مرکز داده

عوامل تهدید، حساب‌های ابری را به خطر می‌اندازند تا بارهای کاری توزیع‌شده برای رمزنگاری را ایجاد کنند – نمونه‌های ابری با پیکربندی نادرست و آسیب‌پذیر برای اجرای حملات انکار سرویس توزیع شده (DDoS) و سوء استفاده از حساب‌های آزمایشی ارائه‌دهندگان خدمات DevOps.

یک گروه رومانیایی که Outlaw نام دارد، دستگاه‌های اینترنت اشیا (IoT) و سرورها و کانتینرهای لینوکس را با سوء استفاده ابتدایی از آسیب‌پذیری‌های شناخته شده و استفاده از اعتبارنامه‌های سرقت شده یا پیش‌فرض برای استخراج ارز دیجیتال Monero یا اجرای حملات DDoS به خطر می‌اندازد. یک گروه پیچیده تر، TeamTNT، خدمات نرم افزاری آسیب پذیر را هدف قرار می دهد. حملات را از نوامبر گذشته تشدید کرد و در عین حال ادعا کرد که عملیات را متوقف خواهد کرد. طبق گزارشی که Trend Micro در 29 مارس منتشر کرد، گروه Kinsing تعداد قابل توجهی از اکسپلویت‌های ابری را در خود جای داده است و در ماه دسامبر به سرعت به بهره‌برداری Log4j منتقل شدند.

استفن هیلت، محقق ارشد تهدید در Trend Micro می گوید که این حملات باید یک علامت هشدار برای شرکت ها باشد مبنی بر اینکه کنترل های امنیتی آنها در فضای ابری به خوبی کار نمی کند.

او می‌گوید: «میزان نمونه‌های ابری با پیکربندی ضعیف زیاد است و این گروه‌ها از آن استفاده می‌کنند. سیستم‌ها نسبت به مهاجمان تغییری نکرده‌اند، بنابراین هیچ علامت قرمزی را برای مواردی مانند تغییر رمز عبور، افزودن نرم‌افزار استخراج و اسکریپت‌های آن‌ها، و دست نخورده ماندن همه چیز دیگر مشخص نمی‌کند. اگر برای قیمت‌های درخواستی پرداخت نمی‌کنید. ، احتمالاً مدت زیادی طول می کشد تا متوجه فعالیت های آنها بشوید، به ویژه گروه هایی که محدودیت هایی را برای منابعی که استخراج کنندگان می توانند استفاده کنند تعیین می کنند.”

منبع: Trend Micro

مهاجمان دیگر راه‌هایی برای بهره‌برداری از سرویس‌های خط لوله مستمر یکپارچه‌سازی مستمر، استقرار مداوم (CI/CD) – مانند Azure DevOps، BitBucket، CircleCI، GitHub، GitLab، و TravisCI – پیدا کرده‌اند و بارهای کاری گذرا را در یک ابر رمزنگاری ترکیب می‌کنند. به گفته شرکت امنیت ابری Aqua Security. بر اساس یک پست وبلاگی که هفته گذشته توسط این شرکت منتشر شد، در یک مورد، یک مهاجم از چندین مرحله ساخت شش ساعته برای اضافه کردن چرخه های پردازنده به یک سرویس استخراج ادغام شده استفاده کرد.

شناسایی این حملات بر روی کاغذ ساده است اما در قلب مدل ابری قرار دارد، جایی که ارائه حساب‌های آزمایشی یا یک ردیف رایگان به توسعه‌دهندگان باعث افزایش استفاده و اشتراک می‌شود و یک عمل تجاری ضروری است. مور واینبرگر، مهندس نرم‌افزار تیم آرگون آکوا سکیوریتی، می‌گوید افزودن موانع می‌تواند رشد آتی سرویس‌های ابری را مختل کند یا توسعه‌دهندگان را کمتر احتمال دارد که خدمات جدید را امتحان کنند.

او می‌گوید: «حتی وقتی موانع اجرا می‌شوند، بازیگران پیشرفته همچنان می‌توانند از آنها عبور کنند. در ادامه، من معتقدم که پلتفرم‌ها به طور قابل ملاحظه‌ای دفاع خود را در برابر حملات رمزنگاری تقویت خواهند کرد و بازیگران تهدید به دنبال اهداف سودآورتر و مقاوم‌تر خواهند بود.

این تحقیق تاکید می کند که مهاجمان در حال یافتن راه هایی برای به خطر انداختن و کسب درآمد از خدمات ابری هستند که با تاکتیک های مورد استفاده برای به خطر انداختن و کسب درآمد از دستگاه ها، دسکتاپ ها و سرورها متفاوت است. به عنوان مثال، گروه‌های دسترسی به عنوان سرویس، اغلب از حساب‌های ابری در معرض خطر برای اجرای cryptominers یا ایجاد حملات DDoS به عنوان راهی برای ایجاد درآمد اضافی استفاده می‌کنند.

مجرم سایبری “پرچم را تسخیر کنید”
گروه های مختلف نیز برای منابع ابری با هم رقابت می کنند. طبق گزارش Trend Micro، برای مثال، به نظر می‌رسد TeamTNT سیستم‌هایی را هدف قرار داده است که توسط یک گروه استخراج ارز دیجیتال رقیب به نام Kinsing به خطر افتاده است. در همین حال، Outlaw اخیراً ابزاری را برای یافتن و حذف ابزارها و تنظیمات مورد استفاده توسط سایر باندهای استخراج برای به خطر انداختن خدمات ابری ایجاد کرده است.

“آنها به خاطر اینکه کدام گروه صاحب جعبه است می جنگند – [they] می خواهید تمام منابع برای ماینینگ به آن ها برود [them]Trend Micro’s Hilt می‌گوید، نه گروه‌های دیگر. این منجر به این می‌شود که آنها یکدیگر را بیرون کنند، بدافزارها و اسکریپت‌های طرف مقابل را پاک کنند و خودشان سعی کنند جعبه را حفظ کنند. در واقع، مهاجمان در حال انجام یک بازی جنایتکارانه برای تسخیر پرچم در زیرساخت شما هستند.”

به گفته هیلت، بسیاری از شرکت‌ها ممکن است این حملات را کمتر جدی بدانند، زیرا ممکن است بر عملیات یا حریم خصوصی مشتری تأثیری نگذارند، اما داشتن قابلیت مشاهده در نمونه‌های ابری برای شناسایی چنین حملاتی بسیار مهم است.

به گفته Weinberger از Aqua Security، علاوه بر این، اگر مهاجمان بتوانند رمزنگاری را به عنوان بخشی از خط لوله CI/CD خودکار کنند، سرویس‌های ابری ممکن است متوجه شوند که منابع آنها به سرعت از بین می‌رود. او می‌گوید از آنجایی که توان عملیاتی حمله بر اساس تعداد حساب‌های مدیریت شده توسط مهاجمان متفاوت است، عوامل تهدید اغلب حساب‌ها و خطوط لوله متعددی را در پلتفرم‌های مختلف ایجاد می‌کنند.

واینبرگر می افزاید: «این همچنین به آنها کمک می کند تا در صورت شناسایی برخی از حساب های آنها توسط پلتفرم ها، به طور کامل مسدود نشوند.

او می‌گوید، شرکت‌ها و سرویس‌های ابری باید روی دید به‌عنوان اولین گام برای پیشگیری تمرکز کنند و از بلوغ حساب‌ها برای امکان استفاده بیشتر و شناسایی نشانه‌های فرآیندهای مبتنی بر استخراج و تله‌متری شبکه استفاده کنند.

این مقاله در ابتدا در سایت خواهر ما، Dark Reading منتشر شد.