Tecnología

Los atacantes implementan criptomineros en clústeres de Kubernetes a través de Argo Workflows

Los atacantes implementan criptomineros en clústeres de Kubernetes a través de Argo Workflows

Los actores de amenazas están abusando de las instancias de Argo Workflows mal configuradas para implementar mineros de criptomonedas en clústeres de Kubernetes (K8s).

Kubernetes es un sistema de código abierto que ayuda a automatizar la implementación, el escalado y la administración de cargas de trabajo, servicios y aplicaciones en contenedores en grupos de hosts.

Flujos de trabajo de Argo es el motor de ejecución de flujo de trabajo más popular para Kubernetes, diseñado para organizar trabajos paralelos para acelerar el aprendizaje automático o el procesamiento de datos en trabajos intensivos en computación en clústeres de Kubernetes.

Nuevo vector de ataque ya utilizado en la naturaleza.

«Los atacantes ya se están aprovechando de este vector, ya que detectamos operadores que sueltan criptomineros utilizando este método en la naturaleza», afirman los investigadores de seguridad de Intezer Ryan Robinson y Nicole Fishbein revelado en un informe publicado a principios de esta semana.

Los actores de amenazas obtienen acceso a dichos clústeres a través de paneles de Argo expuestos a Internet e implementan sus propios flujos de trabajo maliciosos utilizando varios contenedores de minero de Monero, incluido kannix / monero-miner, un contenedor desaparecido que busca a Monero utilizando el minero de CPU / GPU XMRig.

Si bien kannix / monero-miner ya no está disponible en Docker Hub, los atacantes pueden elegir entre algunas docenas de otros contenedores que hacen el mismo trabajo: extraer criptomonedas Monero usando la CPU o la GPU.

Los investigadores agregaron que deberían esperarse ataques a mayor escala, dado que cientos de implementaciones de Argo Workflows con los permisos incorrectos están expuestas al acceso a Internet.

Los dos investigadores de seguridad pudieron encontrar instancias expuestas de Argo Workflows pertenecientes a organizaciones de múltiples sectores industriales, incluidos tecnología, finanzas y logística.

Se recomienda a los administradores que siempre habiliten la autenticación en los paneles de Argo Workflows si no pueden evitar exponerse en Internet y que supervisen sus entornos (contenedores, imágenes y los procesos que ejecutan) en busca de actividad maliciosa.

Cryptominer ejecutándose en Argo instancer
Cryptominer ejecutándose en una instancia de Argo durante 9 meses (Intezer)

Más vectores de ataque de Kubernetes

Las instancias de Argo Workflows mal configuradas son el último vector de ataque observado, y los actores de amenazas previamente escanean y abusan de otros agujeros de seguridad para violar los clústeres de Kubernetes.

Por ejemplo, el mes pasado, Microsoft advirtió que las bandas de criptominería estaban apuntando a la infraestructura de aprendizaje automático (ML) que se ejecuta en clústeres de Kubernetes a través de paneles de Kubeflow expuestos a Internet.

Los atacantes utilizaron Kubeflow Pipelines para implementar pipelines ML que ejecutan mineros de criptomonedas XMRig y Ethminer para la minería de criptomonedas de CPU y GPU.

Un año antes, en abril de 2020, Microsoft descubrió otra campaña de criptominería a gran escala que intentaba violar Clústeres de Kubernetes utilizados para tareas informáticas de aprendizaje automático que consumen muchos recursos abusando de los cuadernos de Jupyter.

En junio, los investigadores de la Unidad 42 también descubrieron Siloscape, el primer malware que apunta a contenedores de Windows con el objetivo final de hacer puertas traseras a los clústeres de Kubernetes.

A diferencia de otro malware que se dirige a entornos de nube y se centra principalmente en el cryptojacking, Siloscape expone los servidores comprometidos a una gama más amplia de actividades maliciosas, incluidos ataques de ransomware, robo de credenciales, exfiltración de datos e incluso ataques a la cadena de suministro.

Leave a Comment

You may also like

Más