Злоумышленники соревнуются между собой за криптовалюту в Kubernetes

Специалисты ИБ-компании Aqua обнаружили крупномасштабную кампанию , в которой злоумышленники используют политику управления доступом на основе ролей (Role Based Access Control, RBAC) Kubernetes для создания бэкдоров и запуска майнеров криптовалюты.

По словам экспертов, злоумышленники также развернули DaemonSets, чтобы захватить ресурсы целевых кластеров Kubernetes. Было обнаружено 60 незащищенных кластеров, используемых хакерами.

Цепочка атак, которая получила название «RBAC Buster», началась с того, что злоумышленник получил первоначальный доступ через неправильно настроенный API-сервер, после чего проверил наличие конкурирующих майнеров на скомпрометированном сервере, а затем использовал RBAC для установления постоянства.

Злоумышленник создал:

• объект «ClusterRole» (описывает права на объекты во всём кластере) с привилегиями уровня администратора;
• аккаунт «ServiceAccount» (предназначен для управления правами доступа к Kubernetes API процессов) и демон «kube-controller» в пространстве имен «kube-system»;
• привязку «ClusterRoleBinding» (открывает доступ к сущностям кластера), привязав «ClusterRole» к «ServiceAccount», чтобы надежно и незаметно закрепиться в системе.

Во время вторжения злоумышленник попытался использовать открытые ключи доступа AWS в качестве оружия, чтобы закрепиться в среде, украсть данные и выйти за пределы кластера.

Развертывание DaemonSet с образом контейнера «kuberntesio/kube-controller»

На последнем этапе атаки злоумышленник создал DaemonSet для развертывания образа контейнера, размещенного в Docker ("kuberntesio/kube-controller:1.0.1"), на всех узлах. Контейнер, который был загружен 14 399 раз с момента его загрузки 5 месяцев назад, содержит криптомайнер.

«Образ контейнера «kubernetesio/kube-controller» — это пример тайпсквоттинга (Typesquatting), который позволяет выдавать себя за законную учетную запись «kubernetesio». Образ также имитирует популярный образ контейнера «kube-controller-manager», который является критически важным компонентом плоскости управления, работающим в поде на каждом главном узле и отвечающим за обнаружение сбоев узлов и реагирование на них.

Интересно, что некоторые тактики атак имеют сходство с другой криптоджекинговой кампанией , в которой также использовались DaemonSets для добычи монеты Dero. В настоящее время неясно, связаны ли эти две кампании.