Bulut Güvenliği , Güvenlik İşlemleri
Cryptomining Kampanyası Genel Bulut Ortamlarını Hedefliyor, Güvenlik Risklerini Artırıyor
Prajeet Nair (@prajeetspeaks) •
21 Ocak 2023
Siber güvenlik araştırmacıları, 8220 Çetesi olarak izlenen Çinli bir kar amacı gütmeyen tehdit grubunun, özel olarak oluşturulmuş bir kripto madencisi ve IRC botu ile bulut sağlayıcıları ve zayıf güvenlikli uygulamaları hedef aldığını söylüyor.
Ayrıca bakınız: Siber Olgunluk: Önceliklendirmeye, Riski Ölçmeye Yeni Bakış
Grup, faaliyetlerini gizlemek ve tespit edilmekten kaçınmak için bal küplerine takılmayı önlemek için bir engelleme listesinin kullanılması da dahil olmak üzere çeşitli taktik ve teknikler kullanır. Siber güvenlik firması Radware’e göre, “Yine de grup mükemmel değil ve bu yılın başında Radware’in Redis bal küplerinden birine bulaşmaya çalışırken yakalandı.”
Araştırmacılar, tehdit gruplarının, yeterli veya esnek bilgi işlem kaynaklarına sahip potansiyel hedefler sunmaları da dahil olmak üzere çeşitli nedenlerle genel bulut ortamlarını hedefleyen kripto madenciliği kampanyalarında uzmanlaştığını söylüyor.
Araştırmacılar, “Birçok kuruluşun sınırlı görünürlüğe sahip olması, güvenlik ve ağ operasyonlarının güvenlik tehditlerini tespit etmesini ve bunlara yanıt vermesini zorlaştırıyor ve genel bulut sağlayıcıları da sınırlı güvenlik kontrolleri sunarak tehdit aktörlerinin güvenlik açıklarını bulmasını ve bunlardan yararlanmasını kolaylaştırıyor” diyor. .
Saldırı Yöntemleri
Saldırganlar, CPU ve GPU kaynaklarını kullanarak sistemleri yavaşlatan özel bir kripto madencisi olan “PwnRig” kullandı. Bu aynı zamanda cihazların yanıt vermemesine neden olur, bu da elastik bilgi işlem düğümlerinin kaynaklarını genişletmesine neden olur ve sonuç olarak “faturalandırma döngüsünün sonunda kurban için çok büyük, beklenmedik bir fatura” ile sonuçlanır.
Radware’in Tehdit İstihbaratı bölümü araştırma başkanı Daniel Smith, Information Security Media Group’a kötü amaçlı yazılımları kripto madenciliğiyle ilgili temel endişenin, bunun bir sistemin performansını önemli ölçüde etkileyebilmesi ve ayrıca sistemleri ek güvenlik risklerine maruz bırakabilmesi olduğunu söyledi.
“Tehdit aktörleri bir kez virüs bulaştıktan sonra, daha sonra hassas bilgileri çalmak, hassas verilere yetkisiz erişim elde etmek veya fidye yazılımı ve silicileri dağıtmak için kullanılabilen keylogger’lar veya uzaktan erişim araçları gibi diğer kötü amaçlı yazılım türlerini yüklemek için aynı erişimi kullanabilir.” diyor.
Tehdit grubunun ayrıca arka kapı olarak kullandığı Tsunami IRC botu – namı diğer kaiten’i kullanarak cihazlara bulaştığı da bulundu. Tsunami, en eski IoT botnet’lerinden biridir. 2001 yılına kadar uzanır ve komuta ve kontrol için IRC protokolünü kullanır.
Bir IRC botu, bir istemci olarak internet geçiş sohbetine bağlanan bir dizi komut dosyası veya bağımsız bir programdır. Bot, tehdit aktörlerinin sistemleri uzaktan kontrol etmesine ve dağıtılmış hizmet reddi saldırıları başlatmasına olanak tanır.
“Tsunami IRC botu, SYN ve UDP flood’ları dahil olmak üzere dört farklı türde hizmet reddi saldırısını destekler. Tsunami botundan gelen DDoS saldırıları, hizmetleri düşürerek veya meşru kullanıcılar için kullanılamaz hale getirerek hedeflenen web sitelerini veya ağları önemli ölçüde etkileyebilir ve bu da finansal kayıplara yol açabilir. kurban için kayıplar,” Radware araştırmacılarına göre.
Teknik detaylar
Araştırmacılar, saldırı için kaynak IP adresinin, büyük bir bulut sağlayıcısında barındırılan güvenliği ihlal edilmiş bir Apache sunucusu olduğunu söylüyor. Bu IP adresi, kullanarak Radware’in Redis bal küpüne bir dizi betiklenmiş komut gönderdi. /api/login ve bağlantı noktası 8443.
“Bu komutlar, adlı bir kabuk betiğini indirmeyi, kurmayı ve yürütmeyi amaçlayan cron işleriydi. xms?redisbir Python script named d.pyPwnRig adında bir kripto madencisi ve Redis’in çalıştığı sistemdeki Tsunami IRC botu.
Bu yükler indirilip yürütüldükten sonra, kabuk komut dosyası, sistemin yapılandırmalarını ve ayarlarını değiştirmek için tasarlanmış bir dizi komut çalıştırır. gelen komutlar xms?redis iki yeni dizin oluşturun ve herkese bu dizinlerdeki dosyaları okuma, yazma ve çalıştırma izni verin.
“Komutlar ayrıca SELinux’u devre dışı bırakır, bir kullanıcının aynı anda çalıştırabileceği işlem sayısına bir sınır koyar, güvenlik duvarı yönetim aracı ufw’yi devre dışı bırakır ve öznitelikleri sistemden kaldırır. /etc/ls.so.preload hedeflenen sistemlerde dosya” diyor araştırmacılar.
Komutlar ayrıca güvenlik araçlarını birkaç bulut sağlayıcısından kaldırmak için bir işlev yürütür ve giden iletişimlerin “hedeflenen cihazlardaki güvenlik bileşenleri tarafından engellenip engellenmediğini ve şüpheli etkinlik içerebilecek günlük dosyalarını siler” olup olmadığını kontrol eder.
8220 Çetesi, yeni potansiyel hedefler, kaba kuvvet ssh hizmetleri keşfetmek ve ssh anahtarlarını toplamak için çoklu tarama işlevleri kullanır.
“Bulut ortamlarına ve güvenli olmayan uygulamalara yönelik tehdit, dünyanın dört bir yanındaki kuruluşlar, özellikle de zayıf kimlik bilgileri kullanan veya güvenlik açıklarını hemen yamamayan kuruluşlar için risk oluşturmaya devam ediyor. Yetersiz güvenlik hijyeni nedeniyle, 8220 Çetesi gibi düşük vasıflı gruplar neden olabiliyor hedeflenen sistemler üzerinde önemli bir etki” diyor Smith.
Radware araştırmacıları, kuruluşların bulut ortamlarını ve uygulamalarını kripto madenciliği kampanyalarından korumak için güvenlik kontrolleri, izleme ve olaya müdahale yeteneklerini içeren kapsamlı bir güvenlik stratejisi benimsemelerini önermektedir.
Ayrıca kuruluşlara, yeni güvenlik tehditlerini algılamak ve bunlara yanıt vermek için güvenlik kontrollerinin hibrit ve çoklu bulut ortamlarında görünürlük sağladığından emin olmalarını tavsiye eder.