Nowe dzieło grupy hakerskiej zwanej TeamTNT wykrada dane dostępowe i instaluje narzędzia do kopania kryptowalut.
Kto jest na celowniku?
W dobie przenoszenia przez firmy swoich usług do chmury i kontenerów (Docker, Kubernetes), atakujący muszą zmienić swoje sposoby na włamywanie się do systemów. Jak podaje CadoSecurity, nową metodą jest po prostu skanowanie sieci w poszukiwaniu źle skonfigurowanych kontenerów i uzyskiwanie do nich dostępu. Według ThreatPost, hakerzy najczęściej instalują wtedy koparki kryptowalut, ale zdarza się także, że wgrane przez nich złośliwe oprogramowanie pozostawia im tylne wejście do systemu, mogące w przyszłości służyć np. do wykradania danych czy zaatakowania oprogramowaniem szyfrującym.
W przypadku AWS malware wyszukuje niezaszyfrowane pliki z danymi dostępowymi i konfiguracyjnymi (folder ~/.aws/ i pliki credentials oraz config), i przesyła je na serwer atakujących. W następnej kolejności proces prawdopodobnie nie jest zautomatyzowany i być może hakerzy manualnie przeglądają i używają otrzymane dane. Badacze dopuszczają też możliwość, że obecnie część systemów TeamTNT może po prostu nie działać, przez co ciężko jest stwierdzić, jak daleko posunięta jest automatyzacja.
Po uzyskaniu dostępu do infrastruktury, hakerzy instalują koparkę XMRig. CadoSecurity doszło do informacji, według których atakujący obecnie mają kontrolę nad 119 systemami i wykopali około 300$, ale trzeba pamiętać o tym, że prawdopodobnie to tylko jedna z ich kampanii. Poza koparką kryptowalut, instalowane są również narzędzia do usuwania logów, rootkit (oprogramowanie maskujące – usuwa z listy procesów te, które chce ukryć), narzędzie zbierające loginy, klucze i hosty SSH (zdalny dostęp), i backdoora.
Jak nie zostać koparką?
Jak zabezpieczyć się przed takim atakiem? Badacze zalecają w przypadku AWS usunięcie wspomnianych plików /credentials i /config jeśli nie są potrzebne – pozostawianie ich jest podobno dość częste. W przypadku Dockera doradzają, aby za pomocą zapory możliwie jak najbardziej ograniczyć dostęp do systemów, najlepiej w formie whitelisty. Poza tym – ciągle monitorować sieć. Twierdzą też, że w przyszłości trzeba liczyć się z powstaniem kolejnych odsłon złośliwego oprogramowania polującego na źle skonfigurowane kontenery i pozostawione pliki dostępowe w AWS.
