Хакеры майнили Monero на вычислительных мощностях Tesla.

По словам RedLock, консалтинговой компании, специализирующейся на вопросах безопасности, crypto-jacking (взлом удаленных систем для использования мощностей для майнинга криптовалют) станет одной из самых серьезных проблем безопасности для корпоративных компьютерных систем во всем мире. Последние исследования RedLock отметили изменение контекста безопасности; смещение фокуса от кражи данных к краже вычислительной мощности. Tesla, клиент RedLock, как сообщается, стал жертвой серьезного инцидента с crypto-jacking, когда слабая защита доступа привела к тому, что учетные данные доступа к системе стали уязвимыми для внешнего доступа.

Что мы знаем

Команда RedLock, работающая в партнерстве с Tesla, опубликовала новый отчет о тревожном увеличении crypto-jacking и о том, как ландшафт безопасности смещается от кражи данных до кражи вычислительной мощности. «Crypto-jacking Epidemic», как RedLock описывает проблему, будет иметь далеко идущие последствия для корпоративных вычислений

Команда RedLock Cloud Security Intelligence (CSI) в конце прошлого года «обнаружила сотни консолей администрирования Kubernetes, доступных через Интернет без защиты паролем», предоставляя доступ к Gemlato и Aviva - двум многонациональным компаниям. Последней компанией, пострадавшей от этой эпидемии, является Тесла. Производитель электромобилей, как отметила команда CSI, также подвергся нападению с помощью консоли Kubernetes с плохой защитой доступа.

Команда RedLock обнаружила, что внутри компании Тесла работала с Amazon Web Services (AWS), который также включал Amazon S3 (Simple Storage Service) - доступ к этим данным позволил хакерам собирать информацию о показателях телеметрии и других данных о транспортных средствах из испытательного парка Tesla.

Однако доступ к этой конфиденциальной информации не был общей целью «взлома». Реальная цель состояла в том, чтобы провести криптодобычу, используя запасную емкость, предоставляемую вычислительными потребностями AWS и Tesla. Уклоняющиеся меры, предпринятые хакерами, подчеркивают, насколько сложной станет эта новая вычислительная угроза.

Хакеры не использовали «майнинговые пулы» в обычном общедоступном вычислительном смысле. Они установили программное обеспечение для майнингового пула, а затем сконфигурировали программное обеспечение для создания «незарегистрированной» полупубличной конечной точки, что затрудняло анализ интеллектуального программного обеспечения IP-угрозой для анализа вредоносной угрозы.

Хакеры также использовали CloudFare, чтобы «скрыть» IP-адрес «майнингового пула, который предоставил бесплатную сетевую платформу. Этот ловко замаскированный IP затрудняет обработку цепочки доменов/IP трэкинга при борьбе с этим типом угрозы кибербезопасности.

Последним шагом была сложная контрольная мера использования процессора, в ходе которой хакеры настраивали программное обеспечение для разработки на низком уровне использования, чтобы избежать обнаружения. Это упрощенное использование вычислительной мощности может оказаться фундаментальной проблемой в глобальной вычислительной среде предприятия.

Противодействие угрозе

Самая большая проблема, описанная в данном случае, - это распространенность плохой защиты доступа. Лучшим оружием, доступным для любой организации, является, и остается, хорошие протоколы защиты информации. Звуковое управление разрешениями доступа и уровнями пользователей в них может предоставить организациям надежные структурные основы кибербезопасности.

В последнем отчете безопасности RedLock было обнаружено, что 73% организаций все еще позволяют учетным записям пользователей root выполнять ключевые вычислительные задачи. Как говорится в отраслевых рекомендациях, это противоречит руководящим принципам наилучшей практики в масштабах всей отрасли. Amazon открыто заявила, что администраторы должны блокировать пользовательский доступ на уровне root и вместо этого создавать многоуровневые пользовательские профили с доступом, связанным с требованиями к ролям и потребностями в вычислительном использовании.

Команда CSI RedLock отметила, что в опыте Тесла защитные процессы вокруг ключей доступа привели к замедлению ротации. В некоторых случаях некоторые ключи доступа не сменялись более чем за 90 дней, около 40% систем, проверенных командой, учитывали эту высокую частоту. Это проблема, потому что эти ключи будут иметь более высокий уровень доступа, что может привести к компрометации системы, и предоставит подходящую возможность для хакеров использовать такое пространство для своих потребностей.

RedLock советует клиентам следовать простой четырехэтапной процедуре, чтобы помочь ограничить возможности вычислительной кражи в целях криптодобычи. Они советуют следующее:

• Завершить доступ пользователей, не относящихся к ИТ, к учетным записям root
• Во всех привилегированных учетных записях пользователей используйте многофакторные шаги аутентификации для защиты ключевых учетных записей
• Создайте рамки политики защиты, которые вынуждают сменять ключи доступа - без обхода пользователя или системных обходных средств.
• Разработка показателей поведения пользователей и доступа и мониторинга для определения отклонения - это может помочь быстро выявить вредоносную кибератаку.

Следите за новостями в нашем Telegram-канале https://t.me/brokstrnews