Студенческие облака теперь тоже добывают крипту. Но вот со студентами никто не делится…
Как майнеры сумели превратить учебные серверы в дойную корову?
В последние месяцы облачные инфраструктуры учебных заведений оказались под прицелом киберпреступников. Microsoft сообщила о серии атак, организованных группировкой, обозначенной как Storm-1977, с применением техники массового подбора паролей.
Ключевым инструментом атакующих стал исполняемый файл «AzureChecker.exe» — консольная утилита, активно используемая различными злоумышленниками. По данным команды Microsoft Threat Intelligence, программа устанавливает соединение с внешним сервером «sac-auth.nodefunction[.]vip», откуда загружает зашифрованный список целей для атак. Шифрование осуществляется с использованием алгоритма AES.
Для работы AzureChecker также требуется локальный файл «accounts.txt», содержащий пары логинов и паролей, которые впоследствии используются при проведении массовой проверки учётных данных на доступ к целевым облачным арендаторам.
Microsoft отметила, что злоумышленники объединяли информацию из обоих источников и автоматически тестировали учётные записи на предмет успешной аутентификации. В одном из случаев компрометации атакующим удалось получить доступ через гостевую учётную запись, после чего они создали новую ресурсную группу в пределах взломанной подписки.
Далее в этой группе было развёрнуто более 200 контейнеров. Основной целью действия стало использование облачной инфраструктуры для нелегального майнинга криптовалюты, что могло привести к серьёзным финансовым потерям и увеличению эксплуатационных расходов пострадавших организаций.
Microsoft также подчеркнула, что контейнерные среды, включая кластеры Kubernetes, реестры образов и сами образы, уязвимы перед разными типами атак. В числе основных угроз называются захват кластеров через украденные учётные данные, эксплуатация уязвимых или неправильно сконфигурированных контейнеров, а также взлом API Kubernetes через открытые управляющие интерфейсы.
Отдельную опасность представляют узлы, использующие устаревшее или небезопасное программное обеспечение, что может облегчить злоумышленникам контроль над инфраструктурой.
Для снижения рисков специалисты Microsoft рекомендуют организациям защищать процессы развёртывания и исполнения контейнеров, внимательно отслеживать нетипичные обращения к API Kubernetes, настраивать политики безопасности для блокировки развёртывания контейнеров из ненадёжных реестров и регулярно проверять образы на наличие известных уязвимостей и ошибок конфигурации.