Automated Libra adlı bir tehdit grubunun DevOps ve sürekli entegrasyon/sürekli dağıtım (CI/CD) ücretsiz deneme hesaplarını kullanarak bulut platformlarında kripto para madenciliği uygulamaları.
Kampanya Ağustos 2019’da başladı ve ağırlıklı olarak GitHub, Heroku ve ToggleBox gibi platformları hedef aldı. Güvenlik satıcısı Sysdig, kampanyayı ilk olarak en son bildirdi Ekim. Bu hafta, Palo Alto Networks’ün 42. Birim tehdit avı ekibi, tehdit grubunun faaliyetlerine ilişkin yakın tarihli bir analize dayanarak kampanya hakkında yeni bilgiler sağladı ve kripto madenciliği artık oyun olsa da, altyapının çok daha kötü tehditleri dağıtmak için kullanılabileceğini kaydetti. yol.
Unit 42’nin araştırması, Automated Libra’nın şimdiye kadar çeşitli bulut platformlarında yaklaşık 180.000 ücretsiz deneme hesabı oluşturduğunu gösterdi; Geçen Kasım ayında zirvesinde olan Automated Libra, GitHub’da her dakika üç ila beş yeni hesap oluşturuyordu. Sysdig daha önce, ücretsiz deneme hesapları aracılığıyla madeni para madenciliği faaliyetinin GitHub’a kullanıcı hesabı başına yaklaşık 100.000 $ gelir kaybına mal olduğunu tahmin etmişti.
Tamamen Konteynerli Bir Operasyon
Ünite 42’nin analizi PurpleUrchin’in kripto madenciliği operasyonunun kullanıcı hesabı oluşturmadan madeni para madenciliğine ve ticarete kadar her bir bileşeninin bir konteyner içinde sevk edildiğini ve yüksek düzeyde otomatik bir şekilde konuşlandırıldığını gösterdi.
İlk kapsayıcı, otomatik hesap oluşturmak için gereken tüm araçları içerir. Bu kapsayıcı, hedeflenen bir bulut sağlayıcının platformunda otomatik olarak yeni hesaplar oluştururken, aynı zamanda kullanıcı hesaplarının her biri için kripto madenciliği bileşenleriyle ek kapsayıcılar oluşturmak için araçlar indirir.
Palo Alto Networks’teki Unit 42’nin baş tehdit araştırmacısı William Gamazo, bu ek konteynerlerin daha büyük operasyonun bireysel ve benzersiz konteynerli bileşenlerini barındırdığını söylüyor. Örneğin, hedeflenen her bulut sağlayıcısı için oluşturulan hesaplara özgü kapsayıcılar, sistem yönetimi için oluşturulan kapsayıcılar (madencilik operasyonunu izlemek için panel ekranları gibi) ve madeni para madencilerinin kendileri için oluşturulan kapsayıcılar içerir.
Gamazo, tehdit aktörlerinin mimarideki her bileşeni bir kapsayıcı olarak uyguladığını söylüyor. “Bazı durumlarda, tüm süreç tek bir komut dosyasıyla başlar” diye belirtiyor. Gamazo, Dark Reading’e, bu betiğin temel işletim yönergeleri için DockerHub, GitHub veya BitBucket’te depolanan bir yapılandırma dosyasını çağırdığını söylüyor.
“Buradan, toplu konteyner üretim sürecini başlatacak bir konteyneri aşağı çeken bir kullanıcı hesabının oluşturulmasıyla süreç son derece dinamik ve modüler hale geliyor – esasen madencilik işlemini gerçekleştirmek için gereken tüm ek konteynerleri oluşturan tek bir konteyner. .”
GitHub’da ilk hesap oluşturmaya yönelik konteyner işlevi, Automated Libra’nın nispeten basit görüntü analizi teknikleri kullanarak CAPTCHA görüntülerini atlamasına olanak tanıyan bir özellik de içerir. CAPTCHA atlama tekniği, temel olarak halka açık araçları yeniden kullanır, ancak bazı durumlarda tehdit aktörleri bazı özel işlemler gerçekleştirmiştir.
Gamazo, “Oyuncunun çok sofistike olduğunu düşünmesek de, bu taktikte çok etkili oldular,” diye belirtiyor.
Kaynak Kullanımını Optimize Etmek İçin Bir DevOps Yaklaşımı
Unit 42 araştırmacıları, Automated Libra’nın birçok bulut satıcısının sunduğu ücretsiz deneme programları kapsamında kendilerine sunulan sınırlı kaynakları kullanma yeteneğini optimize etmek için DevOps ve CI/CD yaklaşımlarını benimsediğini değerlendirdi.
Gamazo, “Diğer tehdit aktörlerinin bu tür konteynerli operasyonlar gerçekleştirdiğine doğrudan tanık olmadık” diyor. CrowdStrike’ın geçtiğimiz Mayıs ayında bildirdiği, Ukrayna yanlısı bir hizmet reddi kampanyasına işaret ederek, “Ancak geçen yıl, konuşlandırmanın bir parçası olarak kapsayıcıları kullanan DDoS saldırı uygulamalarını gördük.” güvenliği ihlal edilmiş Docker bal küpleri.
Unit 42, ücretsiz denemeler için kullanıcı hesapları oluşturmak amacıyla, tehdit aktörlerinin büyük olasılıkla çalıntı veya sahte kredi kartları kullandığını söyledi. Bazı durumlarda saldırganlar, güvenlik satıcısının “oynat ve çalıştır” olarak tanımladığı bir yaklaşımı benimsedi ve belirli bir süre bir bulut sağlayıcının kaynaklarını kullandılar, ancak daha sonra bu hizmetlerin faturasını ödemeden ortadan kayboldular.
Unit 42 araştırmacılarının araştırmaları sırasında ortaya çıkarabildikleri en büyük ödenmemiş bakiye sadece 190 dolardı. Ancak diğer sahte hesaplardaki ödenmemiş bakiyeler, PurpleUrchin kripto madenciliği operasyonunun ölçeği ve genişliği düşünüldüğünde çok daha büyük olabilirdi.
Şimdi Kripto Madenciliği; Sonradan Çok Daha Kötü mü?
Bir tehdit aktörünün kripto para madenciliği yapmak için bir kuruluşun bilgi işlem kaynaklarını gizlice kullandığı kripto madencilik saldırıları son yıllarda oldukça yaygın hale geldi. Kaspersky’nin geçen yıl yaptığı bir çalışma, tehdit aktörlerinin çoğunlukla yama uygulanmamış güvenlik açıkları aracılığıyla kötü amaçlı madencilik yazılımları dağıttığını gösterdi. 2022’nin üçüncü çeyreğinde, Kaspersky’nin analiz ettiği güvenlik açığı açıklarının %15’inden fazlası kripto madenciliği araçlarını içeriyordu. Aynı çeyrekte Kaspersky, 150.000’den fazla yeni madenci varyantı saydı, bu rakam 2021’in üçüncü çeyreğine göre üç kattan fazla.
Unit 42’de bulut tehdit istihbaratı yöneticisi Nathaniel Quist, PurpleUrchin kampanyasında Automated Libra aktörlerinin özellikle CPU kaynakları için ücretsiz veya sınırlı kullanımlı bulut hizmetleri kullandığını söylüyor. Ancak bu, onu başka amaçlar için de kullanamayacakları anlamına gelmez. Örneğin aktörler, bu kaynakları kurban kuruluşları hedef alan tarama, kaba kuvvet hesapları veya kötü amaçlı içerik barındırma gibi kötü amaçlı işlemler gerçekleştirmek için kullanabilirdi.
“Bu olsaydı, kurban, aktörlerin bu hesapları oluşturduğu güvenilir bulut hizmeti sağlayıcılarından kaynaklanan saldırıların hedefi olurdu” diyor.
Kurumsal kuruluşlar için temel çıkarım, tehdit aktörlerinin önümüzdeki yıllarda kötü amaçlı altyapı dağıtımı için kapsayıcıları giderek daha fazla kullanacak olmasıdır. “Bulut sağlayıcıları, bulut depolama hizmetleri ve bulutlarda barındırılan kamu hizmetleri gibi güvenilir kaynaklar, saldırı başlatmak için kullanılacak ve yaygın ve tespit edilmesi zor olacak” diyor.