Face à une recrudescence des attaques sur les clusters Kubernetes, une récente campagne de cryptojacking a été mise en lumière par les chercheurs en sécurité du cloud de chez Wiz. Cette opération vise spécifiquement les configurations vulnérables pour miner de la cryptomonnaie Dero, révélant des failles critiques dans la gestion de la sécurité des infrastructures cloud.
Analyse détaillée de l’attaque ciblant les clusters Kubernetes
Exploitation des serveurs API accessibles
Les chercheurs Avigayil Mechtinger, Shay Berkovich et Gili Tikochinski ont expliqué que les cybercriminels exploitent l’accès anonyme à des serveurs API de Kubernetes ouverts sur internet pour déployer des conteneurs malveillants. Ces derniers, hébergés sur Docker Hub, ont été téléchargés plus de 10,000 fois. Cette technique favorise l’injection du logiciel malveillant sans éveiller les soupçons des systèmes de sécurité traditionnels.
Évolution des méthodes et outils de l’attaquant
Contrairement à la version précédente identifiée par CrowdStrike en mars 2023, les attaquants ont modifié leur modus operandi. Ils utilisent désormais des DaemonSets apparemment bénins, tels que « k8s-device-plugin » et « pytorch-container », pour exécuter le mineur de cryptomonnaie sur tous les nœuds du cluster. Ce changement stratégique montre une adaptation continue aux mesures défensives mises en place.
Techniques d’obfuscation et de camouflage utilisées
Modification et obfuscation du mineur de cryptomonnaie
Le miner de Dero est un binaire open-source écrit en Go, modifié pour intégrer directement dans son code l’adresse du portefeuille et les URL des pools de minage Dero. Cette stratégie permet son exécution sans ligne de commande, ce qui le rend moins détectable par les outils de surveillance de la sécurité. De plus, il est compacté avec UPX, un outil d’obfuscation open-source, pour compliquer son analyse par les experts en sécurité.
Stratégies de discrétion pour échapper à la détection
L’attaquant a également utilisé des noms de domaines innocents pour ses communications, réduisant ainsi le risque de détection par les réseaux de surveillance du trafic web. Cette tactique de camouflage est complétée par le déploiement de scripts conçus pour interrompre les processus de minage concurrents et pour installer discrètement d’autres outils malveillants.
Cet incident met en lumière les risques associés aux configurations non sécurisées de Kubernetes et la nécessité pour les entreprises de renforcer leur architecture de cybersécurité. Chez CyberCare, nous offrons des solutions de sécurité innovantes pour protéger vos infrastructures critiques contre de telles menaces.