Исследователи кибербезопасности CrowdStrike недавно раскрыли очередную незаконную кампанию по добыче криптовалюты. Жертвой злоумышленников на этот раз стала платформа Kubernetes. А сама операция знаменует собой первый случай отказа злоумышленниками от криптовалюты Monero, которая в настоящий момент является самой распространенной монетой для майнинга в криптоджекинговых кампаниях. Вместо неё киберпреступники предпочли криптомонету Dero. Это может быть связано с тем, что добывать Dero немного выгоднее, а ещё монета предоставляет функции анонимизации как минимум не хуже Monero.
Kubernetes – это одна из самых популярных систем управления контейнерами, разработанная Google, и предназначенная для автоматизации развёртывания, масштабирования и управления контейнеризированными приложениями. Kubernetes обладает весьма впечатляющими вычислительными мощностями, поэтому неудивительно, что компанией заинтересовались криптомошенники.
Атака, приписываемая неизвестной финансово мотивированной группе хакеров, началась с поиска незащищённых кластеров Kubernetes с возможностью анонимной аутентификации и последующего внедрения в них полезной нагрузки. Затем на каждом таком кластере развёртывался вредоносный майнинг-модуль, замаскированный под легитимный системный контейнер, из-за чего вредоносную активность было сложнее обнаружить.
Схема недавней атаки на кластеры Kubernetes
Компания CrowdStrike также заявила, что параллельно обнаружила и другую вредоносную активность, нацеленную на открытые кластеры Kubernetes. Примечательно то, что действовала уже совсем другая хакерская группировка, которой удалось обнаружить наличие в API Kubernetes конкурента, “прогнать” его и подключить майнинг криптовалюты Monero на свой кошелёк. Больше похоже на разборки мексиканских картелей, нежели на противостояние хакеров.
Что поделать, каждый хочет ухватить свой “кусок пирога” и борется за него как только может. Произошедшее в очередной раз доказывает привлекательность криптоджекинговых операций для современных хакеров. Деньги любят все, а когда для их получения требуется лишь подключиться к открытому высокопроизводительному серверу, – злоумышленникам, видимо, устоять уже невозможно.