Các nhà nghiên cứu an ninh mạng vào thứ Ba đã tiết lộ một chiến dịch quy mô lớn mới nhắm mục tiêu vào việc triển khai Kubeflow để chạy các thùng chứa khai thác tiền điện tử độc hại.
Chiến dịch liên quan đến việc triển khai TensorFlow các nhóm trên các cụm Kubernetes, với các nhóm hoạt động hợp pháp TensorFlow hình ảnh từ tài khoản Docker Hub chính thức. Tuy nhiên, các hình ảnh vùng chứa đã được định cấu hình để thực thi các lệnh giả mạo khai thác tiền điện tử. Microsoft cho biết việc triển khai đã chứng kiến sự gia tăng vào cuối tháng Năm.
Kubeflow là một nền tảng học máy mã nguồn mở được thiết kế để triển khai quy trình công việc học máy trên Kubernetes, một dịch vụ điều phối được sử dụng để quản lý và mở rộng khối lượng công việc được chứa trong một nhóm máy.
Bản thân việc triển khai đã đạt được bằng cách tận dụng Kubeflow, công cụ này thể hiện chức năng giao diện người dùng của nó thông qua một bảng điều khiển được triển khai trong cụm. Trong cuộc tấn công do Microsoft quan sát, các đối thủ đã sử dụng bảng điều khiển tập trung làm điểm xâm nhập để tạo đường ống chạy các hình ảnh TensorFlow thực hiện các nhiệm vụ khai thác tiền điện tử.
Các cuộc xâm nhập cũng vang vọng các cuộc tấn công tương tự được quan sát bởi Trung tâm Bảo mật Azure của Microsoft vào tháng 4 năm ngoái đã lạm dụng các bảng điều khiển Kubeflow tiếp xúc với Internet để triển khai một vùng chứa cửa hậu cho một chiến dịch khai thác tiền điện tử.
“Việc triển khai bùng nổ trên các cụm khác nhau diễn ra đồng thời. Điều này cho thấy rằng những kẻ tấn công đã quét các cụm đó từ trước và duy trì danh sách các mục tiêu tiềm năng, sau đó đã bị tấn công cùng lúc”, Yossi Weizman, Kỹ sư nghiên cứu bảo mật cao cấp của Microsoft. nói trong một báo cáo.
Các cuộc tấn công đang diễn ra được cho là đã sử dụng hai hình ảnh TensorFlow khác nhau – được gắn thẻ “mới nhất” và “mới nhất-gpu” – để chạy mã độc. Sử dụng hình ảnh TensorFlow hợp pháp cũng là một thiết kế thông minh để tránh bị phát hiện trong đó các vùng chứa TensorFlow phổ biến trong khối lượng công việc dựa trên máy học.
Hơn nữa, Microsoft cho biết những kẻ tấn công có thể tận dụng các hình ảnh để chạy các tác vụ GPU bằng CUDA, do đó cho phép kẻ thù “tối đa hóa lợi nhuận khai thác từ máy chủ.”
“Là một phần của luồng tấn công, những kẻ tấn công cũng đã triển khai [a] Weizman cho biết: “Vùng chứa trinh sát truy vấn thông tin về môi trường như thông tin về GPU và CPU để chuẩn bị cho hoạt động khai thác”, Weizman nói. “Điều này cũng chạy từ một vùng chứa TensorFlow.”
Sự phát triển diễn ra vài ngày sau khi nhóm tình báo về mối đe dọa thuộc Đơn vị 42 của Palo Alto Networks tiết lộ một dạng phần mềm độc hại hoàn toàn mới có tên là Siloscope được thiết kế để thỏa hiệp các cụm Kubernetes thông qua các vùng chứa Windows.
Người dùng đang chạy Kubeflow được khuyến nghị để đảm bảo rằng bảng điều khiển tập trung không tiếp xúc với Internet một cách không an toàn và nếu thấy cần thiết, hãy yêu cầu họ được bảo vệ sau các rào cản xác thực.
Microsoft cũng đã xuất bản một ma trận mối đe dọa cho Kubernetes để hiểu rõ hơn về bề mặt tấn công của các môi trường được container hóa và hỗ trợ các tổ chức xác định các lỗ hổng hiện tại trong hệ thống phòng thủ của họ để bảo vệ chống lại các mối đe dọa nhắm vào Kubernetes.
Đầu tháng 4 này, công ty cùng với các thành viên khác của Trung tâm Phòng thủ được Thông báo về Đe dọa đã hợp tác để phát hành cái gọi là ATT & CK cho ma trận Container được xây dựng dựa trên ma trận mối đe dọa Kubernetes để phát hiện “các rủi ro liên quan đến vùng chứa, bao gồm các cấu hình sai thường là vectơ ban đầu cho các cuộc tấn công, cũng như việc triển khai cụ thể các kỹ thuật tấn công trong tự nhiên.”
