特斯拉Kubernetes控制台遭黑客入侵，居然是為了「挖礦」？

【獵雲網（微信號：ilieyun）】2月22日報道 （編譯：機智可愛美）

幾個月前，RedLock雲安全智能(CSI)團隊發現了數百個Kubernetes管理控制台，這些控制台可以通過互聯網上訪問，但沒有任何密碼保護。

其中一些案例屬於英國跨國保險公司英傑華(Aviva)和全球最大的SIM卡製造商金雅拓(Gemalto)。在這些控制台中，可以訪問這些組織的亞馬遜網路服務(AWS)和Microsoft Azure環境的訪問憑據。經過進一步的調查後，該團隊確定黑客已經秘密滲透到這些組織的公共雲環境中，並使用計算實例來挖掘加密貨幣(參閱雲安全趨勢——2017年10月報告)。

從那時以來，一些其他的隱藏劫持事件被發現，並且在攻擊方面存在顯著的差異。在涉及WannaMine惡意軟體的案例中，使用名為Mimikatz的工具被用來從計算機的內存中提取憑證，以感染網路上的其他計算機。然後，惡意軟體就會使用受感染的計算機來在後台安靜地使用名為Monero的加密貨幣。Mimikatz的使用可確保惡意軟體不必依賴於EternalBlue的漏洞，並使其能夠在完全修補的系統中逃避檢測。

Nikola Tesla以其對現代交流電力（AC）供應系統設計的貢獻而聞名，他巧妙地提出：每件事都要經過一段時間的發展。從本質上講，我們正開始見證密碼破解的進化，因為黑客們認識到這些攻擊的巨大好處，並開始探索新的變化以逃避偵查。

「這是自相矛盾的，然而，我們知道的越多，我們就越無知，因為只有通過啟蒙，我們才意識到自己的局限性。在知識分子進化過程中，最令人滿意的結果之一就是不斷開拓新的更廣闊的前景。」

—Nikola Tesla

最新受害者：特斯拉

RedLock CSI團隊的一項新研究顯示，最新的密碼盜竊受害者是特斯拉。雖然這次攻擊與英傑華和金雅圖的攻擊相似，但也有一些明顯的不同。黑客入侵了特斯拉的Kubernetes控制台，該控制台沒有密碼保護。在一個Kubernetes pod中，訪問憑證暴露在特斯拉的AWS環境中，該環境包含一個亞馬遜S3 (Amazon Simple Storage Service)存儲桶，該存儲桶有一些敏感數據，比如遙測技術。

除了數據曝光之外，黑客還在特斯拉的Kubernetes pod中進行加密挖掘。該小組注意到在這次襲擊中使用了一些複雜的規避措施。

不同於其他加密挖掘事件，黑客在這次攻擊中沒有使用眾所周知的公共「礦池」。相反，他們安裝了挖掘池軟體，並配置了惡意腳本以連接到「未列出」或半公共端點。這使得標準的基於IP/域的威脅情報源很難檢測到惡意活動。

黑客還隱藏了CloudFlare背後礦池伺服器的真實IP地址，這是一個免費的內容分發網路(CDN)服務。黑客可以通過註冊免費的CDN服務來使用新的IP地址。這使得基於IP地址的加密挖掘活動更加具有挑戰性。

此外，該挖掘軟體被配置為監聽一個非標準埠，這使得檢測基於埠流量的惡意活動變得困難。

最後，該團隊還在特斯拉的Kubernetes儀錶板上觀察到CPU使用率不是很高。 黑客最有可能配置採礦軟體以保持低使用率以逃避檢測。

RedLock CSI團隊立即向特斯拉報告了這一事件，並迅速糾正了這個問題。

防止這種妥協

加密貨幣的飛速增長正促使黑客將注意力從竊取數據轉移到在公共雲環境中竊取計算能力。邪惡的網路活動正完全被忽視了。以下是一些可以幫助組織檢測可疑活動的東西，例如在碎片雲環境中進行加密挖掘：

監控配置：由於DevOps團隊在沒有任何安全監督的情況下為生產提供應用和服務，組織應該監視風險配置。這涉及到部署能夠在創建資源時自動發現資源的工具，確定在資源上運行的應用程序，並根據資源或應用程序類型應用適當的策略。配置監控可以幫助特斯拉立即識別存在未受保護的Kubernetes控制台以暴露他們的環境。

監控網路流量：通過監控網路流量並將其與配置數據關聯起來，特斯拉可以檢測到被入侵的Kubernetes pod產生的可疑網路流量。

監視可疑用戶行為：在網際網路上公開的公共雲環境中查找訪問憑據並不常見的，就像在Uber漏洞中那樣。組織需要一種方法來檢測帳戶的妥協。這需要基線化正常的用戶活動和探測異常行為，不僅要識別地理位置或基於時間的異常，還要識別基於事件的異常；下面的圖4顯示了使用RedLock Cloud 360平台檢測到的異常用戶活動的示例。在這種情況下，特斯拉的AWS訪問憑證可能會被從無保護的Kubernetes pod中泄露出去，隨後被用來進行其他不法活動。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！