Blockchain et crypto-monnaie, sécurité cloud, fraude à la crypto-monnaie
CrowdStrike détecte une activité Dero Cryptojacking sur le cluster Kubernetes
Rashmi Ramesh (rashmiramesh_) •
15 mars 2023
Les acteurs de la menace qui exploitent des actifs numériques en utilisant l’infrastructure d’autres personnes ont trouvé une nouvelle crypto-monnaie lucrative pour alimenter leur piratage, la monnaie axée sur la confidentialité Dero.
Voir également: JavaScript et Blockchain. technologies que vous ne pouvez pas ignorer
Le crash cryptographique de 2022 a réduit les récompenses de cryptopiratage de 50% à 90%, selon la société de cybersécurité CrowdStrike. Ce n’est pas le cas pour Dero, qui “offre de plus grandes récompenses” pour attirer les mineurs et fournit des capacités d’anonymat de pointe, ce qui en fait un “match parfait” pour les attaquants à la recherche d’un jour de paie illégal.
Ainsi, l’opération de cryptage Dero a été identifiée pour la première fois par la firme de cybersécurité dans une recherche publiée mercredi. CrowdStrike indique que l’opération a ciblé l’infrastructure Kubernetes sur trois serveurs basés aux États-Unis depuis février.
Le cryptojacking est “en constante évolution” à mesure que les adversaires apprennent à monétiser de nouvelles crypto-monnaies et découvrent les faiblesses de diverses surfaces d’attaque, a déclaré Manoj Ahuje, chercheur principal sur les menaces à la sécurité du cloud chez CrowdStrike.
De mauvais acteurs ont potentiellement lancé plus de 4 000 instances de mineurs au cours de cette campagne. Il est difficile de suivre les fonds dans les portefeuilles Dero en raison des caractéristiques de confidentialité et d’anonymat de la crypto-monnaie. Au lieu de s’appuyer sur des blocs chronologiques de transactions, Dero s’appuie sur une structure appelée graphe acyclique dirigé, qui ressemble plus à un arbre avec des branches qu’à une chaîne. Le livre blanc de Dero indique que les transactions ne peuvent pas être suivies “d’une manière qui révèle qui a envoyé ou reçu des pièces”.
Les opérateurs de campagne trouvent et ciblent les clusters Kubernetes exposés accessibles de manière anonyme via une API, ainsi que les ports non standard accessibles depuis Internet. Un utilisateur disposant de privilèges suffisants peut exposer par inadvertance une API Kubernetes sécurisée sur un hôte, permettant à un acteur malveillant de contourner l’authentification. L’attaquant déploie alors le Kubernetes DaemonSet, qui à son tour installe un pod malveillant sur chaque nœud du cluster Kubernetes pour permettre à l’attaquant de consommer simultanément les ressources de tous les nœuds. “L’effort de minage des pods est réinjecté dans le pool communautaire, qui distribue la récompense, c’est-à-dire la pièce Dero, à parts égales entre ses contributeurs via leur portefeuille numérique”, a déclaré CrowdStrike.
Dans les campagnes de cryptojacking, les acteurs de la menace se déplacent généralement latéralement pour attaquer d’autres ressources ou scanner Internet pour détection ; étapes que la dernière campagne de Dero ne suit pas après le compromis. Les attaquants n’essaient pas non plus d’effacer ou de perturber le cluster, mais déploient plutôt un DaemonSet pour exploiter Dero en se faisant passer pour des noms de journaux Kubernetes normaux.
“Ce comportement ciblé semble clarifier l’intention de cette campagne, à savoir que les attaquants essaient exclusivement d’exploiter Dero”, a déclaré CrowdStrike.
Le flux d’attaque est presque identique à la campagne monérocentrique qui se déroule aux côtés de Dero. “Les deux campagnes tentent de trouver et de combattre des surfaces d’attaque Kubernetes non découvertes”, a déclaré CrowdStrike.
La campagne Monero “déploye des DaemonSets qui ont été utilisés pour le cryptojacking Dero sur un cluster Kubernetes avant qu’il ne soit repris”, a déclaré CrowdStrike. La campagne, qui se concentre sur l’extraction de monero, supprime délibérément les DaemonSets existants pour perturber la campagne de Dero avant de prendre le contrôle du cluster et d’utiliser les ressources déployées à ses propres fins.