Cryptojacking: Come Kubernetes è diventato un terreno di gioco per i criminali informatici

Redazione RHC : 21 Giugno 2023 09:44

Kubernetes (K8s) ha rivoluzionato la gestione dei container e l’orchestrazione delle applicazioni, offrendo una flessibilità e una scalabilità senza precedenti.

Come ci indica il CNCF Survey 2022 ormai i “Containers sono la nuova Normalità” e nell’ultimo anno, soprattutto nel mondo cloud, il loro consumo ha avuto una crescita esponenziale.

A tal proposito il “Kubernetes in the wild report 2023” segnala: Kubernetes sta emergendo come “sistema operativo” del cloud, con una crescita del 137% YoY soprattutto su ambienti PaaS forniti dalle principali piattaforme di Public Cloud. In linea con quello che vediamo grazie all’acquisizione di Linode su Akamai Connected Cloud.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La sicurezza rimane un punto di attenzione per chi fa uso di questa tecnologia assieme alla mancanza di formazione (CNCF Survey 2022) e troviamo le stesse indicazioni su “State of Kubernetes security report 2023” dove possiamo trovare due numeri interessanti:

• Il 38% degli intervistati ritiene che la sicurezza non sia presa abbastanza sul serio o che gli investimenti in questo campo siano inadeguati.
• Il 90% degli intervistati ha subito almeno un incidente di sicurezza negli ultimi 12 mesi.

L’adozione di Kubernetes, se non gestita correttamente, può esporre le organizzazioni a rischi significativi a causa della complessità intrinseca della piattaforma e alla sua architettura di rete piatta, non sicura “by default”.

Esistono tutta una serie di documenti e Best Practices che forniscono linee guida approfondite e raccomandazioni per proteggere gli ambienti container da minacce e vulnerabilità, consentendo alle organizzazioni di adottare un approccio robusto e ben definito alla sicurezza dei container come il NIST 800-190 a cui negli ultimi anni si sono affiancati il Mitre Att&ck allineato alle tecniche in ambienti containers e, più recentemente, l’OWASP Kubernetes Top Ten in cui vengono descritti i principali rischi nell’uso di K8s e come proteggersi.

I rischi riportati  sopra continuano ad essere quelli maggiormente sfruttati dagli attaccanti come porta d’accesso alle infrastrutture:

• Immagini container compromesse;
• Sfruttamento di vulnerabilità;
• Configurazioni errate.

Gli attaccanti sfruttano queste debolezze per infiltrarsi e sfruttare k8s come base d’accesso all’intera infrastruttura o per attività di Mining di Cryptocurrency (cryptojacking), come successo qualche anno fa a TESLA, a causa di una Console Kubernetes non protetta da password su AWS o come vediamo con le attuali campagne di Dero e Monero, che vanno a sfruttare configurazioni errate di kubernetes.

Cos’è: Il Cryptojacking è una forma di attacco informatico in cui un aggressore sfrutta le risorse di calcolo di un dispositivo o di una rete, al fine di estrarre criptovalute come Bitcoin, Monero o altre, senza il consenso dell’utente.

Il Cryptojacking è diventato uno dei principali attacchi contro questi ambienti, essendo un attacco a basso rischio e ad alta remunerazione – minima spesa massima resa!

Perché kubernetes? I motivi per cui K8s è uno dei principali target di questo tipo di attacco è dovuto sicuramente alla crescente adozione ma, soprattutto, alla sua capacità intrinseca di scalare facilmente e incrementare velocemente risorse che possono essere sfruttate per monetizzare tramite Miners.

Attack chain

• Accesso: gli attaccanti, sfruttano vulnerabilità nelle configurazioni o nelle immagini container per infiltrarsi nel cluster Kubernetes.
• Distribuzione del Miner: Una volta ottenuto l’accesso viene distribuito il malware di mining attraverso un DaemonSet nominato proxy-api, sfruttando un’immagine pubblica (come nel caso della campagna Dero) oppure una strategia più intrusiva, utilizzando un Pod privilegiato e montando una directory “host”, al fine di tentare di eseguire una tecnica di ”escape” e ottenere accesso agli host (come nel caso della campagna Monero).
• Raccolta Secrets, Discovery e Movimenti Laterali per ampliare il perimetro e massimizzare l’attacco.
• Impatto: I Pod Deployati o gli host del cluster iniziano a minare Crypto Valuta, causando un forte uso delle risorse di calcolo, rallentando le prestazioni delle applicazioni containerizzate e aumentando i costi operativi.

Per proteggere i propri ambienti e mitigare attacchi come quelli di Cryptojacking, il punto di partenza è avere un Single Pane of Glass, un unico punto da cui implementare Policy ed avere completa visibilità su tutti gli ambienti, di qualsiasi tipo essi siano (Microservizi, VM, Legacy, Baremetal o Public Cloud).

Ciò consente di applicare politiche di sicurezza coerenti e di identificare rapidamente attività sospette garantendo consistenza nella postura di sicurezza.

Questo è l’approccio che abbiamo scelto con Akamai Guardicore Segmentation e se ne parlerà in un webinar il 29 Giugno svolto da Akamai.

La Segmentazione della rete gioca un ruolo fondamentale, l’implementazione di politiche di segmentazione all’interno dei cluster Kubernetes e l’isolamento dei Microservizi permettono di prevenire la diffusione del malware tra gli asset e di limitare le comunicazioni tra i pod ai soli flussi di traffico necessari per il corretto funzionamento delle applicazioni.

La Visibilità ed il rilevamento permettono di identificare le minacce e le attività sospette all’interno degli ambienti attraverso il monitoraggio di comportamenti anomali, ad esempio con il supporto di Threat Detectors e Reputation Analisys.

Chiaramente punti fondamentali restano:

• Limitazione dei privilegi dei container;
• Scansione delle immagini;
• Aggiornamenti e patch;
• Politiche di accesso e autorizzazione.

Su questi punti ci viene a supporto Hunt, il servizio di Threat Hunting di Akamai che è in grado di:

• Individuare Rogue Images recuperando i dati relativi all’immagine in esecuzione sui container;
• Rilevare anomalie di comunicazione (Communication Anomaly);
• Verificare Socket Aperti, cercando tutti i processi in ascolto sulle porte all’interno di un pod e verificandone la legittimità;
• Rilevare Mount sospetti di filesystem;
• Individuare CVE note come Log4j ispezionando i processi e le immagini dei container;
• Individuare connessioni verso Malicious Domains – attraverso intelligence feeds di Akamai.

L’implementazione di queste misure di mitigazione consente di ridurre significativamente il rischio di attacchi di Cryptojacking e mantenere una postura di sicurezza solida.

Quando si pensa alla sicurezza dei propri ambienti è assolutamente necessario avere una visione ampia di tutti i propri asset e non progettare per verticale, perché i Data Center sono ibridi e comprendono ambienti eterogenei caratterizzati da un mix di tecnologie e infrastrutture diverse. Un approccio a single pane of glass è necessario per proteggere e mantenere la coerenza della postura di sicurezza.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli