10/06/21
Команда ИБ-специалистов из компании Microsoft обнаружила вредоносную кампанию, нацеленную на рабочие кластеры Kubeflow. Преступники устанавливают модули TensorFlow для майнинга криптовалюты.
«Установка модулей на различных кластерах произошла одновременно. Это указывает на то, что злоумышленники заранее просканировали эти кластеры и сохранили список потенциальных целей, которые позже были атакованы в один момент», — пояснили эксперты.
Kubeflow — платформа с открытым исходным кодом, позволяющая запускать рабочие процессы машинного обучения в ПО Kubernetes.
Контейнеры TensorFlow распространены в рабочих нагрузках машинного обучения, и неудивительно, что злоумышленники использовали их для запуска вредоносного кода. Такой подход позволяет преступникам оставаться незамеченными.
В рамках вредоносной кампании один из использованных образов TensorFlow позволял запускать задачи графического процессора с использованием программно-аппаратной архитектуры параллельных вычислений CUDA, тем самым помогая злоумышленникам повысить эффективность своей операции майнинга.
В рамках атак злоумышленники использовали доступ к централизованной приборной панели Kubeflow для создания нового процесса машинного обучения с использованием платформы Kubeflow Pipelines. Образы TensorFlow были установлены в контейнерах для майнинга криптовалюты.
Злоумышленники установили как минимум два модуля (XMRIG и Ethminer) в каждом кластере Kubernetes для майнинга на CPU и GPU соответственно. Кроме того, злоумышленник установил разведывательный контейнер для хищения информации об окружающей среде до начала добычи полезных ископаемых, поясняет Microsoft.
Поскольку атаки все еще продолжаются, администраторам рекомендуется убедиться, что их централизованные информационные панели не подвергаются незащищенному доступу в интернет и защищены аутентификацией.
