Cryptojacking: Come Kubernetes è diventato un terreno di gioco per i criminali informatici

Kubernetes (K8s) ha rivoluzionato la gestione dei container e l’orchestrazione delle applicazioni, offrendo una flessibilità e una scalabilità senza precedenti.

Come ci indica il CNCF Survey 2022 ormai i “Containers sono la nuova Normalità” e nell’ultimo anno, soprattutto nel mondo cloud, il loro consumo ha avuto una crescita esponenziale.

A tal proposito il “Kubernetes in the wild report 2023” segnala: Kubernetes sta emergendo come “sistema operativo” del cloud, con una crescita del 137% YoY soprattutto su ambienti PaaS forniti dalle principali piattaforme di Public Cloud. In linea con quello che vediamo grazie all’acquisizione di Linode su Akamai Connected Cloud.

La sicurezza rimane un punto di attenzione per chi fa uso di questa tecnologia assieme alla mancanza di formazione (CNCF Survey 2022) e troviamo le stesse indicazioni su “State of Kubernetes security report 2023” dove possiamo trovare due numeri interessanti:

• Il 38% degli intervistati ritiene che la sicurezza non sia presa abbastanza sul serio o che gli investimenti in questo campo siano inadeguati.
• Il 90% degli intervistati ha subito almeno un incidente di sicurezza negli ultimi 12 mesi.

L’adozione di Kubernetes, se non gestita correttamente, può esporre le organizzazioni a rischi significativi a causa della complessità intrinseca della piattaforma e alla sua architettura di rete piatta, non sicura “by default”.

Esistono tutta una serie di documenti e Best Practices che forniscono linee guida approfondite e raccomandazioni per proteggere gli ambienti container da minacce e vulnerabilità, consentendo alle organizzazioni di adottare un approccio robusto e ben definito alla sicurezza dei container come il NIST 800-190 a cui negli ultimi anni si sono affiancati il Mitre Att&ck allineato alle tecniche in ambienti containers e, più recentemente, l’OWASP Kubernetes Top Ten in cui vengono descritti i principali rischi nell’uso di K8s e come proteggersi.

I rischi riportati  sopra continuano ad essere quelli maggiormente sfruttati dagli attaccanti come porta d’accesso alle infrastrutture:

• Immagini container compromesse;
• Sfruttamento di vulnerabilità;
• Configurazioni errate.

Gli attaccanti sfruttano queste debolezze per infiltrarsi e sfruttare k8s come base d’accesso all’intera infrastruttura o per attività di Mining di Cryptocurrency (cryptojacking), come successo qualche anno fa a TESLA, a causa di una Console Kubernetes non protetta da password su AWS o come vediamo con le attuali campagne di Dero e Monero, che vanno a sfruttare configurazioni errate di kubernetes.

Cos’è: Il Cryptojacking è una forma di attacco informatico in cui un aggressore sfrutta le risorse di calcolo di un dispositivo o di una rete, al fine di estrarre criptovalute come Bitcoin, Monero o altre, senza il consenso dell’utente.

Il Cryptojacking è diventato uno dei principali attacchi contro questi ambienti, essendo un attacco a basso rischio e ad alta remunerazione – minima spesa massima resa!

Perché kubernetes? I motivi per cui K8s è uno dei principali target di questo tipo di attacco è dovuto sicuramente alla crescente adozione ma, soprattutto, alla sua capacità intrinseca di scalare facilmente e incrementare velocemente risorse che possono essere sfruttate per monetizzare tramite Miners.

Attack chain

• Accesso: gli attaccanti, sfruttano vulnerabilità nelle configurazioni o nelle immagini container per infiltrarsi nel cluster Kubernetes.
• Distribuzione del Miner: Una volta ottenuto l’accesso viene distribuito il malware di mining attraverso un DaemonSet nominato proxy-api, sfruttando un’immagine pubblica (come nel caso della campagna Dero) oppure una strategia più intrusiva, utilizzando un Pod privilegiato e montando una directory “host”, al fine di tentare di eseguire una tecnica di ”escape” e ottenere accesso agli host (come nel caso della campagna Monero).
• Raccolta Secrets, Discovery e Movimenti Laterali per ampliare il perimetro e massimizzare l’attacco.
• Impatto: I Pod Deployati o gli host del cluster iniziano a minare Crypto Valuta, causando un forte uso delle risorse di calcolo, rallentando le prestazioni delle applicazioni containerizzate e aumentando i costi operativi.

Per proteggere i propri ambienti e mitigare attacchi come quelli di Cryptojacking, il punto di partenza è avere un Single Pane of Glass, un unico punto da cui implementare Policy ed avere completa visibilità su tutti gli ambienti, di qualsiasi tipo essi siano (Microservizi, VM, Legacy, Baremetal o Public Cloud).

Ciò consente di applicare politiche di sicurezza coerenti e di identificare rapidamente attività sospette garantendo consistenza nella postura di sicurezza.

Questo è l’approccio che abbiamo scelto con Akamai Guardicore Segmentation e se ne parlerà in un webinar il 29 Giugno svolto da Akamai.

La Segmentazione della rete gioca un ruolo fondamentale, l’implementazione di politiche di segmentazione all’interno dei cluster Kubernetes e l’isolamento dei Microservizi permettono di prevenire la diffusione del malware tra gli asset e di limitare le comunicazioni tra i pod ai soli flussi di traffico necessari per il corretto funzionamento delle applicazioni.

La Visibilità ed il rilevamento permettono di identificare le minacce e le attività sospette all’interno degli ambienti attraverso il monitoraggio di comportamenti anomali, ad esempio con il supporto di Threat Detectors e Reputation Analisys.

Chiaramente punti fondamentali restano:

• Limitazione dei privilegi dei container;
• Scansione delle immagini;
• Aggiornamenti e patch;
• Politiche di accesso e autorizzazione.

Su questi punti ci viene a supporto Hunt, il servizio di Threat Hunting di Akamai che è in grado di:

• Individuare Rogue Images recuperando i dati relativi all’immagine in esecuzione sui container;
• Rilevare anomalie di comunicazione (Communication Anomaly);
• Verificare Socket Aperti, cercando tutti i processi in ascolto sulle porte all’interno di un pod e verificandone la legittimità;
• Rilevare Mount sospetti di filesystem;
• Individuare CVE note come Log4j ispezionando i processi e le immagini dei container;
• Individuare connessioni verso Malicious Domains – attraverso intelligence feeds di Akamai.

L’implementazione di queste misure di mitigazione consente di ridurre significativamente il rischio di attacchi di Cryptojacking e mantenere una postura di sicurezza solida.

Quando si pensa alla sicurezza dei propri ambienti è assolutamente necessario avere una visione ampia di tutti i propri asset e non progettare per verticale, perché i Data Center sono ibridi e comprendono ambienti eterogenei caratterizzati da un mix di tecnologie e infrastrutture diverse. Un approccio a single pane of glass è necessario per proteggere e mantenere la coerenza della postura di sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.