Kubernetes-Cluster unter Beschuss: Kryptojacking-Kampagne nutzt Schwachstellen aus
Eine aktive Kryptojacking-Kampagne zielt auf fehlkonfigurierte Kubernetes-Cluster ab. Angreifer nutzen diese, um die Kryptowährung Dero zu schürfen und so unbemerkt Rechenressourcen zu stehlen.
Cybersecurity-Experten warnen vor einer aktiven Kryptojacking-Kampagne. Diese nutzt Schwachstellen in falsch konfigurierten Kubernetes-Clustern aus, um die Kryptowährung Dero zu schürfen. Da Betroffene dadurch unbemerkt erhebliche Rechenressourcen einbüßen, wird dringend zu einer Überprüfung und Sicherung der Kubernetes-Cluster geraten.
Das Cloud-Sicherheitsunternehmen Wiz, das diese Aktivitäten aufdeckte, erklärte, es handele sich um eine aktualisierte Version einer finanziell motivierten Operation, die erstmals im März 2023 von CrowdStrike dokumentiert wurde. „Bei diesem Vorfall nutzte der Angreifer den anonymen Zugang zu einem öffentlich zugänglichen Cluster, um schädliche Container-Images zu starten, die auf Docker Hub gehostet werden. Einige dieser Images wurden bereits mehr als 10.000 Mal heruntergeladen“, so Wiz. „Diese Docker-Images enthalten einen DERO-Miner namens ‚pause‘, der mit UPX gepackt ist.“
So schürfen Angreifer Dero auf fremden Systemen
Der erste Zugriff der Angreifer erfolgt über Kubernetes-API-Server, die von außen zugänglich sind und bei denen die anonyme Authentifizierung aktiviert ist. Dies ermöglicht es ihnen, die Miner-Programme auf den Servern zu installieren. Im Gegensatz zur Version von 2023, die ein Kubernetes-DaemonSet namens „proxy-api“ verwendete, nutzt die neueste Variante scheinbar harmlose DaemonSets mit den Namen „k8s-device-plugin“ und „pytorch-container“. Diese DaemonSets sorgen dafür, dass der Miner schließlich auf allen Knoten des Clusters ausgeführt wird.
Zusätzlich ist die Benennung des Containers als „pause“ ein Versuch, als legitimer „pause“-Container durchzugehen. Dieser echte Container wird normalerweise zum Starten eines Pods und zur Durchsetzung der Netzwerkisolierung verwendet.
Der Kryptowährungs-Miner selbst ist eine in Go geschriebene Open-Source-Binärdatei. Diese wurde verändert, um die Wallet-Adresse und spezielle URLs für Dero-Mining-Pools fest einzucodieren. Außerdem ist sie mit dem Open-Source-Packer UPX verschlüsselt, um eine Analyse zu erschweren. Der Hauptvorteil dieser Methode, die Mining-Konfiguration direkt in den Code einzubetten, besteht darin, dass der Miner ohne zusätzliche Befehlszeilenargumente laufen kann. Diese Argumente werden normalerweise von Sicherheitsmechanismen überwacht, sodass ihre Abwesenheit die Entdeckung des Miners erschwert.
Wiz hat nach eigenen Angaben weitere vom Angreifer entwickelte Tools identifiziert, darunter ein Windows-Sample eines mit UPX gepackten Dero-Miners sowie ein Dropper-Shell-Skript, das konkurrierende Miner-Prozesse auf einem infizierten Host beenden und GMiner von GitHub herunterladen soll. „Der Angreifer registrierte Domains mit unauffälligen Namen, um keinen Verdacht zu erregen und besser im normalen Webverkehr unterzutauchen. Gleichzeitig verschleierte er die Kommunikation mit bekannten Mining-Pools“, so die Experten. „Diese Taktik zeigt, wie die Angreifer ihre Methoden ständig anpassen, um den Sicherheitsmaßnahmen immer einen Schritt voraus zu sein.“
Sicherheitstools für den Schutz vor Kryptojacking in Kubernetes-Clustern
Um Kubernetes-Umgebungen vor Kryptojacking-Angriffen wie dem beschriebenen zu schützen, sollten Unternehmen neben grundlegenden Sicherheitsmaßnahmen auch spezialisierte Sicherheitstools implementieren. Dazu gehören zum Beispiel:
- Vulnerability Scanner: Diese Tools durchsuchen die Kubernetes-Cluster und Container-Images kontinuierlich nach bekannten Schwachstellen und Fehlkonfigurationen, die Angreifern ausgenutzt werden könnten.
- Runtime Security: Diese Lösungen überwachen die Aktivitäten in Clustern in Echtzeit und erkennen verdächtige Verhaltensweisen, die auf Kryptomining oder andere böswillige Aktivitäten hindeuten könnten.
- Netzwerküberwachung: Netzwerk-Traffic-Analyse-Tools können helfen, ungewöhnlichen Datenverkehr zu identifizieren, der mit Kryptomining-Aktivitäten in Verbindung steht.
- Image-Scanning: Diese Tools scannen Container-Images auf Schadcode, Malware und Schwachstellen, bevor sie in Clustern bereitgestellt werden.
Darüber hinaus sollten Unternehmen immer regelmäßig Sicherheitspatches für Kubernetes und die Container-Images einspielen und die Zugriffskontrollen in ihren Clustern strikt verwalten.