Casi di Cryptojacking sono sempre più frequenti, come quella di ottobre dell’anno scorso.
Il cryptojacking contro Dero
Alcuni ricercatori di sicurezza informatica hanno scoperto la prima campagna di mining di criptovaluta illecita utilizzata per creare Dero dall’inizio di febbraio 2023.
“La nuova operazione di cryptojacking di Dero si concentra sulla ricerca di cluster Kubernetes con accesso anonimo abilitato su una API di Kubernetes e in ascolto su porte non standard accessibili da Internet“, ha detto CrowdStrike in un nuovo rapporto.
Lo sviluppo di tale vicenda segna un cambiamento significativo rispetto a Monero, che è una criptovaluta diffusa utilizzata in tali campagne. Si sospetta che ciò possa dipendere dal fatto che Dero “offre ricompense maggiori e fornisce le stesse o migliori funzionalità di anonimizzazione“.
Gli attacchi, attribuiti a un ignoti motivato finanziariamente, iniziano con la scansione di cluster Kubernetes con l’autenticazione impostata come –anonymous-auth=true, che consente richieste anonime al server, per rilasciare carichi utili iniziali da tre diversi indirizzi IP con sede negli Stati Uniti.
Ciò include la distribuzione di un Kubernetes DaemonSet chiamato “proxy-api”, che a sua volta viene utilizzato per rilasciare un pod maligno su ogni nodo del cluster Kubernetes per avviare l’attività di mining.
Non a caso, il file YAML del DaemonSet è orchestrato per eseguire un’immagine Docker che contiene un binario “pause”, che in realtà è il miner di monete Dero.
“In un deployment legittimo di Kubernetes, i container ‘pause’ sono utilizzati da Kubernetes per avviare un pod“, ha fatto notare l’azienda. “Gli attaccanti potrebbero aver utilizzato questo nome per confondersi e evitare una rilevazione evidente“.
La società di sicurezza informatica ha dichiarato di aver identificato una campagna parallela di mining di Monero che mirava anche a cluster Kubernetes esposti tentando di eliminare il DaemonSet “proxy-api” associato alla campagna Dero.
Ciò è un fattore che è indice della continua lotta tra i gruppi di cryptojacking (non dissimile da quelle di gang mafiose nel mondo reale, per capirci) che cercano di ottenere risorse cloud per prendere e mantenere il controllo delle macchine e consumare tutte le loro risorse.
“Entrambi i gruppi cercano di trovare superfici d’attacco di Kubernetes non scoperte e stanno combattendo tra loro“, hanno dichiarato i ricercatori delle minacce informatiche di CrowdStrike Benjamin Grap e Manoj Ahuje.
Ma cosa vuol dire tutto questo semplificando per chi è “profano”?
Si mette in evidenza l’emergere di una nuova campagna di cryptojacking che mira a sfruttare i cluster Kubernetes con accesso anonimo abilitato per il mining di criptovaluta Dero. La campagna rappresenta un cambiamento rispetto alle precedenti campagne di cryptojacking che hanno utilizzato principalmente la criptovaluta Monero.
Si sospetta che questo possa essere dovuto al fatto che Dero offre maggiori ricompense e funzionalità di anonimizzazione. Gli attacchi sono attribuiti a un attore sconosciuto motivato finanziariamente e sono condotti tramite un file YAML del DaemonSet che esegue un’immagine Docker contenente un miner Dero nascosto all’interno del binario “pause”.
Si mette in evidenza inoltre una lotta in corso tra gruppi di cryptojacking che cercano di ottenere il controllo delle risorse cloud per sfruttare le macchine e consumare le loro risorse. In generale, l’articolo sottolinea l’importanza di adottare misure di sicurezza robuste per proteggere i cluster Kubernetes e prevenire gli attacchi di cryptojacking.
Per farti capire, immagina i classici gangster che tentano di rubare un camion pieno di lingotti o di oggetti preziosi: uguale! Cambia solo che si fa con i cloud nel mondo di internet invece che dal vivo. Questo è il cryptojacking spiegato in soldoni.
Aggiungi poi il fatto che la moneta Dero (una moneta virtuale o criptovaluta in questo caso specifico) è più “conveniente” rispetto a Monero perché non è tracciabile (o comunque lo è meno).