Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Злоумышленники соревнуются между собой за криптовалюту в Kubernetes

24/04/23

blogposts-kub

Специалисты ИБ-компании Aqua обнаружили крупномасштабную кампанию, в которой злоумышленники используют политику управления доступом на основе ролей (Role Based Access Control, RBAC) Kubernetes для создания бэкдоров и запуска майнеров криптовалюты. Об этом пишет Securitylab.

По словам экспертов, злоумышленники также развернули DaemonSets, чтобы захватить ресурсы целевых кластеров Kubernetes. Было обнаружено 60 незащищенных кластеров, используемых хакерами.

Цепочка атак, которая получила название «RBAC Buster», началась с того, что злоумышленник получил первоначальный доступ через неправильно настроенный API-сервер, после чего проверил наличие конкурирующих майнеров на скомпрометированном сервере, а затем использовал RBAC для установления постоянства.

Злоумышленник создал:

  • объект «ClusterRole» (описывает права на объекты во всём кластере) с привилегиями уровня администратора;
  • аккаунт «ServiceAccount» (предназначен для управления правами доступа к Kubernetes API процессов) и демон «kube-controller» в пространстве имен «kube-system»;
  • привязку «ClusterRoleBinding» (открывает доступ к сущностям кластера), привязав «ClusterRole» к «ServiceAccount», чтобы надежно и незаметно закрепиться в системе.

Во время вторжения злоумышленник попытался использовать открытые ключи доступа AWS в качестве оружия, чтобы закрепиться в среде, украсть данные и выйти за пределы кластера.

На последнем этапе атаки злоумышленник создал DaemonSet для развертывания образа контейнера, размещенного в Docker ("kuberntesio/kube-controller:1.0.1"), на всех узлах. Контейнер, который был загружен 14 399 раз с момента его загрузки 5 месяцев назад, содержит криптомайнер.

«Образ контейнера «kubernetesio/kube-controller» — это пример тайпсквоттинга (Typesquatting), который позволяет выдавать себя за законную учетную запись «kubernetesio». Образ также имитирует популярный образ контейнера «kube-controller-manager», который является критически важным компонентом плоскости управления, работающим в поде на каждом главном узле и отвечающим за обнаружение сбоев узлов и реагирование на них.

Интересно, что некоторые тактики атак имеют сходство с другой криптоджекинговой кампанией , в которой также использовались DaemonSets для добычи монеты Dero. В настоящее время неясно, связаны ли эти две кампании.

Темы:КриптовалютыУгрозыAqua SecurityKubernetes
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...