Blok Zinciri ve Kripto Para Birimi , Bulut Güvenliği , Kripto Para Dolandırıcılığı
CrowdStrike, Kubernetes Kümesinde Dero Cryptojacking Operasyonları Buldu
Rashmi Ramesh (rashmiramesh_) •
15 Mart 2023
Başkalarının altyapısını kullanarak dijital varlık madenciliği yapan tehdit aktörleri, bilgisayar korsanlığını motive etmek için kazançlı yeni bir kripto para birimi buldu: gizlilik odaklı para birimi Dero.
Ayrıca bakınız: Infographic I NGINX 101
Siber güvenlik firması CrowdStrike, 2022’deki kripto çöküşünün cryptojacking’in getirilerini %50 ila %90 oranında azalttığını söyledi. Madencileri çekmek için “daha büyük ödüller sunan” ve son teknoloji anonimlik özellikleri sağlayan Dero için durum böyle değil, bu da onu yasadışı bir maaş günü arayan saldırganlar için “mükemmel bir eşleşme” haline getiriyor.
Bu nedenle, siber güvenlik firmasının Çarşamba günü yayınlanan araştırmasında söylediği şey, tespit edilen ilk Dero cryptojacking operasyonu. CrowdStrike, operasyonun Şubat ayından bu yana üç ABD tabanlı sunucuda Kubernetes altyapısını hedef aldığını söyledi.
CrowdStrike’ta bulut güvenliği için kıdemli tehdit araştırmacısı olan Manoj Ahuje, Information Security Media Group’a verdiği demeçte, düşmanlar yeni kripto para birimlerinden nasıl para kazanacaklarını ve çeşitli saldırı yüzeylerindeki zayıflıkları nasıl belirleyeceklerini öğrendikçe, Cryptojacking “her zaman gelişiyor”.
Kötü aktörler, bu kampanya sırasında potansiyel olarak 4.000’den fazla madenci örneği konuşlandırdı. Kripto para biriminin gizlilik ve anonimlik özellikleri nedeniyle Dero cüzdanlarındaki fonları takip etmek zordur. Dero, kronolojik işlem bloklarına dayanmak yerine, bir zincirden çok dalları olan bir ağaca benzeyen, yönlendirilmiş asiklik grafik adı verilen bir yapıya dayanır. Dero teknik incelemesi, işlemlerin “kimin para gönderip aldığını gösterecek şekilde” takip edilemeyeceğini söylüyor.
Kampanya operatörleri, internetten erişilebilen standart olmayan bağlantı noktalarının yanı sıra, uygulama programlama arabirimi aracılığıyla anonim olarak erişilebilen, açığa çıkmış Kubernetes kümelerini bulur ve hedefler. Yeterli ayrıcalığa sahip bir kullanıcı, istemeden ana bilgisayarda güvenli bir Kubernetes API’sini açığa çıkarabilir ve tehdit aktörünün kimlik doğrulamasını atlamasına izin verebilir. Saldırgan daha sonra bir Kubernetes DaemonSet dağıtır ve bu da, saldırganın tüm düğümlerin kaynaklarını aynı anda kullanmasına izin vermek için Kubernetes kümesinin her düğümüne kötü niyetli bir bölme yerleştirir. CrowdStrike, “Kapsüllerin madencilik çabalarına, ödülü, yani Dero madeni parasını, katkıda bulunanlar arasında dijital cüzdanları aracılığıyla eşit olarak dağıtan bir topluluk havuzuna geri katkıda bulunuluyor” dedi.
Cryptojacking kampanyalarında, tehdit aktörleri genellikle diğer kaynaklara saldırmak veya keşif için interneti taramak için yanal hareket eder – en son Dero kampanyasının uzlaşma sonrası takip etmediği adımlar. Saldırganlar ayrıca küme işlemini silmeye veya bozmaya çalışmaz, bunun yerine yaygın Kubernetes günlük adları gibi davranarak Dero madenciliği yapmak için bir DaemonSet dağıtır.
CrowdStrike, “Bu odaklanmış davranışlar, bu kampanyanın amacını, yani saldırganların yalnızca Dero için madencilik yapmaya çalıştıklarını açıklığa kavuşturuyor gibi görünüyor.” Dedi.
Saldırı akışı, Dero’ya paralel olarak yürütülen monero odaklı bir kampanyanınkiyle neredeyse aynı. CrowdStrike, “Her iki kampanya da keşfedilmemiş Kubernetes saldırı yüzeylerini bulmaya çalışıyor ve bununla mücadele ediyor.” Dedi.
CrowdStrike, monero kampanyasının “Kubernetes kümesini devralmadan önce Dero cryptojacking için kullanılan DaemonSet’leri devre dışı bıraktığını” söyledi. Monero madenciliğine odaklanan kampanya, kümeyi devralmadan ve dağıtılan kaynakları kendi amaçları için kullanmadan önce Dero kampanyasını bozmak için mevcut DaemonSet’leri kasıtlı olarak siler.