2 Minuty
Cyberataki na popularne narzędzia DevOps: nielegalne kopanie kryptowalut
Eksperci ds. cyberbezpieczeństwa wykryli niedawno nową falę ataków, w których cyberprzestępcy wykorzystują błędnie skonfigurowane, powszechnie używane narzędzia DevOps do wdrażania operacji wydobycia kryptowalut. Nieautoryzowani górnicy działają potajemnie, generując wartościowe tokeny kryptowalutowe na koszt niczego nieświadomych ofiar, co prowadzi do wysokich rachunków za energię elektryczną oraz nadmiernego wykorzystania infrastruktury.
Zespół ds. analizy zagrożeń Wiz Threat Research powiązał tę kampanię z grupą o nazwie JINX-0132. Badania wykazały, że choć atakowanych jest kilka narzędzi, cztery z nich są szczególnie często wybierane przez atakujących: Nomad, Consul, Docker Engine API oraz Gitea.
Opis zagrożonych narzędzi DevOps
Nomad i Consul, oba opracowane przez HashiCorp, zwracają szczególną uwagę ekspertów. Nomad jest wydajnym orkiestratorem obciążeń, który umożliwia zarządzanie kontenerami, maszynami wirtualnymi oraz aplikacjami w klastrach infrastrukturalnych. Consul zapewnia zaawansowane rozwiązania sieciowe, w tym wykrywanie usług oraz zarządzanie konfiguracją aplikacji rozproszonych.
Docker Engine API pozwala programistom oraz narzędziom automatyzującym na zdalne zarządzanie kontenerami i obrazami za pomocą interfejsu REST API. Gitea to samodzielnie hostowana platforma Git umożliwiająca wspólny rozwój oprogramowania i oferująca funkcje takie jak hostowanie kodu źródłowego czy przeglądy kodu.
Sprytne techniki ataku grupy JINX-0132
To, co wyróżnia działania JINX-0132, to metody unikania wykrycia. Zamiast wdrażać tradycyjne techniki pozostawiające wyraźne ślady włamania, atakujący pobierają złośliwe narzędzia bezpośrednio z publicznych repozytoriów GitHub. Dzięki temu nie wzbudzają oni natychmiastowego alarmu po stronie administratorów oraz systemów bezpieczeństwa, zwłaszcza gdy atakowane aplikacje nie są traktowane jako typowe wektory wejścia.
Skala zagrożenia jest poważna: raport wskazuje, że nawet 25% środowisk chmurowych korzysta przynajmniej z jednego z tych czterech podatnych narzędzi DevOps. HashiCorp Consul został wykryty aż w 20% środowisk, z czego 5% jest wystawionych na działanie Internetu, a 30% tych wdrożeń zawiera niebezpieczne błędy konfiguracyjne.
Jak chronić się przed atakami na kopanie kryptowalut?
W obliczu rosnącego ryzyka specjaliści zalecają wielowarstwową ochronę środowisk DevOps. Firmy powinny wdrożyć rygorystyczne mechanizmy kontroli dostępu, regularnie przeprowadzać audyty bezpieczeństwa oraz bieżące testy podatności. Kluczowe jest szybkie stosowanie poprawek bezpieczeństwa oraz monitorowanie wykorzystania zasobów systemowych w celu wykrycia nietypowej aktywności.
Zabezpieczenie narzędzi DevOps przed błędami konfiguracji jest niezwykle istotne. Organizacje muszą przeciwdziałać nieautoryzowanemu wykonywaniu poleceń oraz wzmacniać mechanizmy uwierzytelniania, by skutecznie powstrzymać potencjalnych górników kryptowalut. Proaktywne podejście do eliminowania podatności pozwala lepiej chronić zasoby infrastrukturalne i cyfrowe w coraz bardziej niebezpiecznej przestrzeni cybernetycznej.
Komentarze