3 Minute
Atacuri cibernetice exploatează unelte DevOps populare pentru minerit ilegal de cryptomonede
Experții în securitate cibernetică au descoperit recent un nou val de atacuri prin care infractorii cibernetici profită de configurări greșite ale unor unelte DevOps larg utilizate pentru a iniția operațiuni de minerit de cryptomonede. Acești mineri neautorizați generează, pe ascuns, tokenuri de cryptomonedă valoroase, cauzând costuri mari de energie electrică și cheltuieli de infrastructură pentru victime, fără ca acestea să știe.
Echipa de threat intelligence de la Wiz Threat Research a identificat campania și a atribuit-o unui grup denumit JINX-0132. În urma investigațiilor, s-a constatat că, deși mai multe unelte DevOps sunt vizate, patru dintre ele sunt ținte frecvente: Nomad, Consul, Docker Engine API și Gitea.
Unelte DevOps vulnerabile și riscurile asociate
Nomad și Consul, ambele dezvoltate de HashiCorp, sunt deosebit de expuse. Nomad este un orchestrator scalabil pentru gestionarea containerelor, a mașinilor virtuale și a aplicațiilor independente, pe clustere de infrastructură. Consul oferă soluții pentru networking de servicii, inclusiv descoperirea și gestionarea configurațiilor pentru aplicații distribuite.
Docker Engine API pune la dispoziția dezvoltatorilor și a uneltelor de automatizare o interfață RESTful pentru administrarea containerelor și a imaginilor de Docker. Gitea este o platformă Git self-hosted, care facilitează dezvoltarea colaborativă de software, cu funcționalități precum găzduirea codului sursă și revizuirea acestuia.
Tactici sofisticate ale atacatorilor JINX-0132
Ceea ce diferențiază abordarea grupului JINX-0132 este modul în care evită detectarea. În loc să folosească metode clasice ce ar putea lăsa urme evidente, atacatorii descarcă uneltele malițioase direct din repository-uri publice GitHub. Această strategie scade șansele ca sistemele de securitate sau administratorii să observe imediat activitatea suspectă, mai ales atunci când aplicațiile vizate nu sunt considerate puncte de acces tradiționale.
Datele raportului arată amploarea amenințării: până la 25% dintre mediile cloud utilizează cel puțin una dintre cele patru unelte DevOps vulnerabile, iar HashiCorp Consul este prezent în cel puțin 20% din medii. Este important de menționat că 5% dintre aceste implementări sunt expuse direct la internet, dintre care 30% prezintă configurații nesigure sau periculoase.
Protejarea împotriva atacurilor de minerit de cryptomonede
În fața acestor riscuri, specialiștii recomandă adoptarea unei strategii de securitate multilayer. Organizațiile ar trebui să impună politici stricte de control al accesului, audituri regulate de securitate și evaluări continue de vulnerabilitate. Aplicarea rapidă a actualizărilor și monitorizarea constantă a resurselor de sistem pentru identificarea activităților suspecte sunt esențiale.
Este crucial ca mediile DevOps să fie protejate împotriva configurărilor greșite. Companiile trebuie să prevină execuția neautorizată de comenzi și să implementeze protocoale de autentificare puternice pentru a contracara atacurile de minerit de cryptomonede. Prin abordarea proactivă a vulnerabilităților, organizațiile își pot proteja mai eficient infrastructura și activele digitale într-un peisaj cibernetic tot mai agresiv.
Comentarii