Tehdit aktörleri, kripto madenciliği için dağıtılmış iş yükleri oluşturmak amacıyla bulut hesaplarını tehlikeye atıyor – dağıtılmış hizmet reddi (DDoS) saldırıları yürütmek ve DevOps hizmet sağlayıcılarının deneme hesaplarını kötüye kullanmak için yanlış yapılandırılmış ve savunmasız bulut örneklerinden ödün veriyor.
Outlaw adlı bir Rumen grubu, bilinen güvenlik açıklarından temel olarak yararlanarak ve Monero dijital para birimini çıkarmak veya DDoS saldırıları yürütmek için çalınan veya varsayılan kimlik bilgilerini kullanarak Nesnelerin İnterneti (IoT) cihazlarını ve Linux sunucularını ve kapsayıcılarını tehlikeye atıyor. Daha karmaşık bir grup olan TeamTNT, savunmasız yazılım hizmetlerini hedefler; operasyonları durduracağını iddia ederken geçen Kasım ayından itibaren saldırılarını artırdı. Trend Micro tarafından 29 Mart’ta yayınlanan bir rapora göre, Kinsing grubu etkileyici sayıda bulut istismarına ev sahipliği yapıyor ve Aralık ayında hızla Log4j istismarına geçiş yaptı.
Trend Micro’nun kıdemli tehdit araştırmacısı Stephen Hilt, saldırıların şirketler için güvenlik kontrollerinin bulutta iyi çalışmadığına dair bir uyarı işareti olması gerektiğini söylüyor.
“Kötü yapılandırılmış bulut örneklerinin miktarı yüksek ve bu gruplar bundan faydalanıyor” diyor. “Sistemler saldırganlardan farklı değil, bu nedenle bu, şifreleri değiştirmek, madencilik yazılımlarını ve komut dosyalarını eklemek ve diğer her şeye dokunulmadan bırakmak gibi şeyler için kırmızı bayraklar oluşturmaz. İsteğe bağlı fiyatlandırma için ödeme yapmıyorsanız , faaliyetlerini, özellikle de madencilerin kullanabileceği kaynaklara sınır koyan grupları fark etmeniz muhtemelen uzun zaman alıyor.”
Diğer saldırganlar, Azure DevOps, BitBucket, CircleCI, GitHub, GitLab ve TravisCI gibi sürekli entegrasyon, sürekli dağıtım (CI/CD) ardışık düzen hizmetlerinin ücretsiz katmanından yararlanmanın ve geçici iş yüklerini bir şifreleme bulutunda birleştirmenin yollarını buldu. hizmet, bulut güvenlik firması Aqua Security’ye göre. Bir durumda, bir saldırgan havuza alınmış madencilik hizmetine işlemci döngüleri eklemek için altı saatlik birden çok derleme adımı kullandı. şirket tarafından geçen hafta yayınlanan bir blog yazısı.
Saldırıları kağıt üzerinde tespit etmek kolaydır, ancak geliştiricilere deneme hesapları veya ücretsiz bir katman sunmanın kullanımı ve abonelikleri teşvik ettiği ve önemli bir iş uygulaması olduğu bulut modelinin kalbinde yer alır. Aqua Security’nin Argon ekibinden bir yazılım mühendisi olan Mor Weinberger, engellerin eklenmesinin bulut hizmetlerinin gelecekteki büyümesini engelleyebileceğini veya geliştiricilerin yeni hizmetleri deneme olasılığını azaltabileceğini söylüyor.
“Bariyerler uygulansa bile, ileri düzey aktörler hala onları atlayabiliyor” diyor. “İleriye dönük olarak, platformların kripto madenciliği saldırılarına karşı savunmalarını önemli ölçüde güçlendireceğine ve tehdit aktörlerinin daha karlı ve daha az dirençli hedefler arayacağına inanıyorum.”
Araştırma, saldırganların cihazları, masaüstlerini ve sunucuları tehlikeye atmak ve bunlardan para kazanmak için kullanılan taktiklerden farklı olarak bulut tekliflerinden ödün vermenin ve bunlardan para kazanmanın yollarını bulduğunun altını çiziyor. Örneğin, bir hizmet olarak erişim grupları, ek gelir elde etmenin bir yolu olarak kripto madencilerini çalıştırmak veya DDoS saldırıları oluşturmak için genellikle güvenliği ihlal edilmiş bulut hesaplarını kullanır.
Siber Suçlu “Bayrağı Yakalayın”
Farklı gruplar da bulut kaynakları için rekabet ediyor. Örneğin TeamTNT, Kinsing olarak bilinen rakip bir kripto para madenciliği grubu tarafından ele geçirilen sistemleri hedef almış gibi görünüyor. Trend Micro’nun raporuna göre. Bu arada, Outlaw kısa süre önce diğer madencilik çeteleri tarafından bulut hizmetlerinden ödün vermek için kullanılan yardımcı programları ve ayarları bulmak ve kaldırmak için bir araç geliştirdi.
“Kutuya hangi grubun sahip olduğu uğruna savaşıyorlar – [they] madencilik için tüm kaynakların gitmesini istiyorum [them], diğer gruplar değil,” diyor Trend Micro’dan Hilt. “Bu, birbirlerini kovmalarına, diğerinin kötü amaçlı yazılımlarını ve komut dosyalarını temizlemelerine ve kutuyu kendilerinin korumaya çalışmasına neden oluyor. Etkili bir şekilde, saldırganlar altyapınızdaki bayrağı ele geçirmek gibi bir suç oyunu oynuyorlar.”
Hilt, operasyonları veya müşteri gizliliğini etkilemeyebilecekleri için saldırıların daha az ciddi olduğunu düşünebilir, ancak bu tür saldırıları tespit etmek için bulut örneklerinde görünürlüğe sahip olmak çok önemlidir, diyor Hilt.
Ayrıca, Aqua Security’den Weinberger, saldırganların kripto madenciliğini bir CI/CD ardışık düzeninin parçası olarak otomatikleştirebilmesi durumunda, bulut hizmetlerinin kaynaklarının hızla tükendiğini görebilir. Saldırının verimi, saldırganlar tarafından yönetilen hesapların sayısına göre değiştiğinden, tehdit aktörleri genellikle farklı platformlarda birden fazla hesap ve boru hattı oluşturacaklarını söylüyor.
Weinberger, “Bu, platformların bazı hesaplarını algılaması durumunda tamamen engellenmekten kaçınmalarına da yardımcı oluyor” diye ekliyor.
Şirketler ve bulut hizmetleri, önlemenin ilk adımı olarak görünürlüğe odaklanmalı, daha fazla kullanıma izin vermek için hesapların vadesini kullanmalı ve madencilik tabanlı süreçlerin ve ağ telemetrilerinin göstergelerini tespit etmeli, diyor.
