Kubernetes コンテナ クラスターから CPU サイクルを盗んで暗号通貨を採掘することは、サイバー犯罪者の間で最近流行している手口です。
スイスのセキュリティ情報機関 BinaryEdge は、脆弱なクラスターが乗っ取られ、攻撃者のために暗号通貨を採掘するスクリプトを実行するために使用されている複数の事例を発見したと述べている。
コインマイニングマルウェアは、ハッカーが他人のハードウェアを利用して現金を生成するための人気のツールとして長い間利用されてきたが、これまでに確認された攻撃のほとんどは、被害者のPC上でマイニングコードを実行したり、人気のWebサイトのWebページにマイニングスクリプトを挿入して訪問者全員のCPUサイクルを盗んだりすることに重点を置いていた。
しかし、コンテナ クラスターは、悪党にとって魅力的なターゲットになる可能性があります。コンテナを動かすマシンは通常、非常に強力なサーバーであるため、1 時間あたりに掘り出すコインが多くなり、混雑した環境では巧妙なコインマイニング マルウェアをすぐに見つけるのは簡単ではないからです。
最近、脆弱性の公開により Kubernetes のセキュリティが注目されているが、BinaryEdge によると、彼らが目にしている攻撃ははるかに単純で、感染したクラスターの多くはエクスプロイトを必要とせず、むしろ誤ってパブリック インターネットに無防備な状態になっていたという。
コンテナコードクラスタの事実:Kubernetesには悪意のある者が大混乱を引き起こす可能性のある穴がある
続きを読む
「私たちの調査結果によくあることですが、多くの企業がKubernetes APIを認証なしで公開しています。Kubernetesクラスター内では、Podと呼ばれる小さなコンテナが実行されます。基本的に、Podはクラスター内のプロセスを表します」と、セキュリティ企業は今週説明した。
「この脆弱性が露出すると、攻撃者はポッド上で何が実行されているかを確認できるだけでなく、ポッド自体に対してコマンドを実行することも可能になります。その結果、世界中で多くのKubernetesクラスターのポッドが乗っ取られ、暗号通貨のマイニングに利用されているという状況が見られます。」
BinaryEdgeは、あるポッドにcurlコマンドが送信され、Cryptonightマイニングコードを実行する.jsonファイルを取得したことを示しました。研究者らは、公開されたAPIはCPUサイクルの損失をはるかに超える影響を及ぼす可能性があると指摘しました。コインマイニングスクリプトを実行するのに十分なアクセス権を持つ攻撃者は、他のサービスや機密データにアクセスし、その他の不正行為を行う可能性が高いためです。
感染は単なる孤立したインスタンスに限定されず、BinaryEdge の研究者は大企業から中小企業まであらゆる種類の組織で感染したクラスターを発見したと述べています。
管理者は、APIが適切に保護され、インターネットからアクセスできないようにすることを強くお勧めします。また、監視スクリプトを使用して、予期しないワークロードを検出することも検討してください。®
