Վերջին շրջանում աղմուկ բարձրացրած լայնածավալ հարձակման արշավը շահագործում է Kubernetes-ի (K8s) Role-Based հսկողությունը (RBAC) ստեղծելով backdoor-եր՝ կրիպտոարժույթի miner-երը գործարկելու համար:
«Հարձակվողները տեղակայել են DaemonSets-ը՝ K8-երի կլաստերների ռեսուրսներն առևանգելու համար», – նշվում է cloud-ային անվտանգությամբ զբաղվող Aqua ընկերության զեկույցում, որը կիսվել է The Hacker News-ի հետ: Իսրայելական ընկերությունը, որը հարձակմանը տվել է RBAC Buster անվանումը, նշել է, որ հայտնաբերել է 60 բացահայտված K8 կլաստերներ, որոնք շահագործվել են վերոնշյալ արշավի հետևում կանգնած հաքերների կողմից:
«Հարձակվողը admin-level արտոնություններով ստեղծել է նոր ClusterRole», – ասում է ընկերությունը: «Հաջորդիվ հարձակվողը ստեղծել է՝ «ServiceAccount-ը», «kube-controller-ը» «kube-system-ը» և վերջապես հարձակվողը ստեղծել է «ClusterRoleBinding-ը»՝ այն կապելով ClusterRole-ի ServiceAccount-ի հետ, որի արդյունքում ստեղծել է ուժեղ և հուսալի կայունություն:
Հարձակման վերջին քայլով հաքերը ստեղծել է DaemonSet, որպեսզի Docker-ում տեղակայի container image-ը («kuberntesio/kube-controller:1.0.1»): Կոնտեյները, որը բեռնվել է մոտ 14,399 անգամ, կրիպտոարժույթի miner է պահեստավորում:
Հետաքրքիրն այն է, որ արշավում կիրառված ստրատեգիան օգտագործվել է նաև այլ ապօրինի գործողության մեջ, որը նույնպես կիրառել է DaemonSets-եր՝ Dero և Monero ստեղծելու համար: Դեռևս հստակորեն բացահայտված չէ, արդյո ՞ք այս երկու հարձակումները կապված են իրար հետ:
Աղբյուրը՝ https://thehackernews.com/
