Blok Zinciri ve Kripto Para Birimi , Bulut Güvenliği , Kripto Para Dolandırıcılığı
CrowdStrike, Kubernetes Kümesinde Dero Cryptojacking Operasyonları Buldu
Rashmi Ramesh (rashmiramesh_) •
15 Mart 2023
Başkalarının altyapısını kullanarak dijital varlık madenciliği yapan tehdit aktörleri, bilgisayar korsanlığını motive etmek için kazançlı yeni bir kripto para birimi buldu: gizlilik odaklı para birimi Dero.
Ayrıca bakınız: Infographic I NGINX 101
Siber güvenlik şirketi CrowdStrike, 2022’deki kripto çöküşünün cryptojacking’in getirilerini yarı ila %90 oranında azalttığını söylüyor. Madencileri çekmek için “daha büyük ödüller sunan” ve son teknoloji anonimlik özellikleri sağlayan Dero için durum böyle değil, bu da onu yasadışı bir maaş günü arayan saldırganlar için “mükemmel bir eşleşme” haline getiriyor.
Bu nedenle siber güvenlik firmasının Çarşamba günü yayınlanan araştırmasında söylediği şey, tespit edilen ilk Dero cryptojacking operasyonu. CrowdStrike, operasyonun Şubat ayından bu yana üç ABD tabanlı sunucuda Kubernetes altyapısını hedef aldığını söylüyor.
CrowdStrike’ta bulut güvenliği için kıdemli tehdit araştırmacısı olan Manoj Ahuje, Information Security Media Group’a verdiği demeçte, Cryptojacking’in yeni kripto para birimlerinden nasıl para kazanılacağını ve çeşitli saldırı yüzeylerindeki zayıflıkları nasıl belirleyeceğini öğrenmesiyle “her zaman gelişiyor”.
Kötü aktörler, bu kampanya sırasında potansiyel olarak 4.000’den fazla madenci örneği konuşlandırdı. Kripto para biriminin gizlilik ve anonimlik özellikleri nedeniyle Dero cüzdanlarındaki fonları takip etmek zordur. Dero, kronolojik işlem bloklarına dayanmak yerine, bir zincirden çok dalları olan bir ağaca benzeyen, yönlendirilmiş asiklik grafik adı verilen bir yapıya dayanır. Dero teknik incelemesi, işlemlerin “kimin para gönderip aldığını gösterecek şekilde” takip edilemeyeceğini söylüyor.
Kampanya operatörleri, internetten erişilebilen standart olmayan bağlantı noktalarının yanı sıra, uygulama programlama arabirimi aracılığıyla anonim olarak erişilebilen, açığa çıkmış Kubernetes kümelerini bulur ve hedefler. Yeterli ayrıcalığa sahip bir kullanıcı, istemeden ana bilgisayarda güvenli bir Kubernetes API’sini açığa çıkarabilir ve tehdit aktörünün kimlik doğrulamasını atlamasına izin verebilir. Saldırgan daha sonra bir Kubernetes DaemonSet dağıtır ve bu da, saldırganın tüm düğümlerin kaynaklarını aynı anda kullanmasına izin vermek için Kubernetes kümesinin her düğümüne kötü niyetli bir bölme yerleştirir. CrowdStrike, “Kapsüllerin madencilik çabalarına, ödülü, yani Dero madeni parasını dijital cüzdanları aracılığıyla katkıda bulunanlar arasında eşit olarak dağıtan bir topluluk havuzuna geri katkıda bulunuluyor” diyor.
Cryptojacking kampanyaları genellikle diğer kaynaklara saldırmak veya keşif için interneti taramak için yanal olarak hareket eden tehdit aktörlerine sahiptir – en son Dero kampanyasının izlemediği adımlar, uzlaşma sonrası. Saldırganlar ayrıca küme işlemini silmeye veya kesintiye uğratmaya çalışmadı, ancak yaygın Kubernetes günlük adları gibi davranarak Dero madenciliği yapmak için bir DaemonSet konuşlandırdı.
CrowdStrike, “Bu odaklanmış davranışlar, bu kampanyanın amacını, yani saldırganların yalnızca Dero için madencilik yapmaya çalıştıklarını açıklığa kavuşturuyor gibi görünüyor” diyor.
Saldırı akışı, Dero’ya paralel olarak yürütülen Monero odaklı bir kampanyanınkiyle neredeyse aynı. CrowdStrike, “Her iki kampanya da keşfedilmemiş Kubernetes saldırı yüzeylerini bulmaya çalışıyor ve bununla savaşıyor” diyor.
CrowdStrike, Monero kampanyasının “Kubernetes kümesini devralmadan önce Dero cryptojacking için kullanılan DaemonSet’leri devre dışı bıraktığını” söylüyor. Monero madenciliğine odaklanan kampanya, kümeyi devralmadan ve dağıtılan kaynakları kendi kullanımı için kullanmadan önce Dero kampanyasını bozmak için mevcut DaemonSet’leri kasıtlı olarak siler.