Kubernetes ― популярная система оркестрации контейнеров, а решение Kubeflow позволяет быстро и просто разворачивать экземпляры контейнеров с системами машинного обучения. Хакеры атакуют кластеры с развернутыми системами Kubeflow, чтобы разворачивать собственные контейнеры, в которых запускают майнеры XMR и ETH.
Атаки начались в конце мая. Специалисты по компьютерной безопасности обнаружили внезапный всплеск разворачивания контейнеров TensorFlow.
«Всплеск инсталляций на различных кластерах был одновременным. Это говорит о том, что хакеры заранее просканировали кластеры и составили список потенциальных целей, а затем запустили координированную атаку», ― рассказал старший исследователь Microsoft по безопасности Йоси Вайцман (Yossi Weizman).
Злоумышленники модицифировали контейнеры, чтобы они добывали криптовалюты, и распространяли их через платформу Kubeflow Pipelines. При этом изначальный доступ к кластерам Kubernetes они получали через управляющую систему Kubeflow ― изначально доступ к ней должен ограничиваться внутренними сетями, но некоторые администраторы по ошибке разрешали доступ извне. Затем хакеры разворачивали два контейнера: один для добычи криптовалют на центральных процессорах, а другой ― на видеоускорителях.
Для добычи Monero использовалось приложение XMRig, а для майнинга Эфириума хакеры разворачивали контейнеры с Ethminer.
«Атаки все еще продолжаются и под удар попадают все новые кластера Kubernetes с открытой панелью Kubeflow», ― предупредил Вайцман.
Специалист по кибербезопасности посоветовал администраторам всегда включать аутентификацию при доступе в панель, а также ограничивать к ней доступ. Кроме того, он посоветовал следить за своей инфраструктурой и разворачиваемыми контейнерами.
В конце апреля сообщалось, что Microsoft добавит поддержку технологии Intel для обнаружения угроз, чтобы повысить скорость реагирования на вредоносные программы скрытого майнинга на рабочих станциях.