特斯拉雲平台被黑：黑客用它來「挖礦」

RedLock的研究人員發現了加密貨幣劫持的最新受害者：特斯拉

加密貨幣劫持瘟疫

幾個月前，RedLock雲安全情報（CSI）團隊就發現了數百個Kubernetes管理控制台可通過互聯網加以訪問，沒有任何密碼保護。

幾個實例屬於英國跨國保險公司英傑華（Aviva）和全球最大的SIM卡製造商金雅拓。在這些控制台裡面，訪問這些企業的AWS 和 Azure 環境的登錄信息被泄露。CSI團隊進一步調查後查明，黑客已秘密滲入到這些企業的公共雲環境，並使用計算實例來挖掘加密貨幣。

自那以來，另外許多加密貨幣劫持事件紛紛被揭露，攻擊方面存在顯著的差異。在涉及WannaMine惡意軟體的情況下，Mimikatz這種工具被用來從計算機的內存獲取登錄信息，感染網路上的其他計算機。隨後，該惡意軟體使用被感染計算機的計算實例在後台偷偷挖掘一種名為Monero的加密貨幣。使用Mimikatz可以確保惡意軟體不必依賴EternalBlue漏洞，並使它能夠避免在全面打有補丁的系統上被檢測出來。

眾所周知，尼古拉?特斯拉（Nikola Tesla）為設計現代交流電（AC）電力供應系統作出了傑出的貢獻，他曾一針見血地指出，一切都會在一段時間內發生演變。實際上，我們開始目睹加密貨幣劫持攻擊發生演變，因為黑客認識到這種攻擊的重大好處，開始探究新的變種，避免被檢測出來。

「我們知道得越多，絕對意義上變得越無知，這看似矛盾，但的確如此，因為只有通過啟蒙，我們才意識到自己的局限性。智力進化最令人滿意的結果之一正是，不斷開拓新的、更大的前景。」

――尼古拉?特斯拉

最新的受害者：特斯拉

RedLock CSI團隊的最新研究顯示，特斯拉是加密貨幣劫持的最新受害者。雖然這次攻擊與英傑華和金雅拓遭遇的攻擊很相似，但還是有一些顯著的差異。黑客潛入到了特斯拉的Kubernetes控制台，該控制台沒有用密碼來保護。在一個Kubernetes pod中，訪問特斯拉的AWS環境的登錄信息被泄露，而該環境含有的Amazon S3（亞馬遜簡單存儲服務）存儲桶裡面有敏感數據，比如遙測數據。

訪問特斯拉AWS環境的登錄信息被泄露

除了泄露數據外，黑客還從特斯拉的其中一個Kubernetes pod裡面挖掘加密貨幣。CSI團隊注意到這次攻擊採用了一些手法老到的規避措施。

不像其他加密貨幣挖掘事件，黑客在這次攻擊中並沒有使用眾所周知的公共「挖礦礦池」。他們而是安裝了挖礦礦池軟體，並配置了惡意腳本，以連接到一個「未入冊」或半公開的端點。這樣一來，通常基於IP /域名的威脅情報源很難檢測到惡意活動。

黑客還將挖礦礦池伺服器的真實IP地址在CloudFlare這種免費的內容交付網路（CDN）服務後面隱藏起來。黑客可以註冊免費的CDN服務，因而按需使用新的IP地址。這樣一來，基於IP地址檢測加密貨幣挖掘活動變得尤為困難。

此外，挖礦軟體經過配置以偵聽一個非標準埠，因而很難基於埠流量來檢測惡意活動。

最後，該團隊還在特斯拉的Kubernetes儀錶板上觀察到CPU使用率不是很高。黑客極可能配置了挖礦軟體以保持CPU使用率很低，以逃避檢測。

RedLock CSI團隊立即向特斯拉報告了這起事件，這個問題很快就被糾正了。

在特斯拉的Kubernetes pod中運行的加密貨幣挖掘腳本

防止這種威脅

加密貨幣的價值暴漲正促使黑客將關注的重心由竊取數據轉向竊取企業組織在公共雲環境中的計算能力。惡意的網路活動完全沒有被注意。下面幾個措施可以幫助企業組織檢測分散的雲環境上的可疑活動（比如加密貨幣挖掘）：

監視配置：由於DevOps團隊向沒有任何安全監管的生產環境交付應用程序和服務，企業組織應監視高風險的配置。這包括部署一旦資源創建，就能自動發現資源的工具；確定哪些運行的應用程序在使用該資源，並根據資源或應用程序的類型來實施適當的策略。監測配置本可以幫助特斯拉立馬察覺到一個未受保護的Kubernetes控制台在泄露其環境。

監視網路流量：通過監視網路流量，並將其與配置數據關聯起來，特斯拉本可以檢測出中招的Kubernetes pod生成的可疑網路流量。

RedLock平台表明檢測到了比特幣挖掘流量

監視可疑用戶行為：發現訪問公共雲環境的登錄信息泄露在網上並不罕見，優步泄密就是這種情況。企業組織需要一種方法來檢測帳戶泄密。這需要為正常的用戶活動確立基準線，檢測異常行為（不僅限於識別地理位置或基於時間的異常，還要識別基於事件的異常）；下面圖4表明了使用RedLockCloud 360平台檢測到異常用戶活動的例子。在這種情況下，從未受保護的Kubernetes pod泄露出去的特斯拉AWS訪問登錄信息可能隨後用於執行其他惡意活動。

RedLock平台表明檢測到了異常用戶活動

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！