- Einige Kunden des Microsofts Azure-Computernetzwerk haben ihre Nodes falsch konfiguriert und es Hackern ermöglicht Monero zu schürfen.
- Die Angriffe betrafen 10 Nodes der Kubeflow-Lernmaschine, die Teil des Azure-Netzwerks ist.
In einem Bericht vom 10. Juni enthüllte Microsoft Einzelheiten über die Entdeckung einer Schwachstelle, die von Angreifern in seinem Azure-Computernetzwerk ausgenutzt wurde. Der Bericht wurde von Yossi Weizman, einem Software-Ingenieur für Sicherheitsforschung für das Azure Security Center (ASC), veröffentlicht. Die Schwachstelle ermöglichte es Angreifern das Azure-Netzwerk über Nodes einer Lernmaschine namens Kubeflow zu nutzen um Monero (XMR) zu schürfen.
Kubeflow ist ein Lernmaschinen-Werkzeugkasten für die Kubernetes-Plattform. Microsoft behauptet, Kubeflow habe an Popularität gewonnen und sei unter anderem aufgrund seiner enormen Rechenleistung ein Ziel für Cyber-Angriffe geworden:
Kubeflow ist gewachsen und zu einem beliebten Framework für die Ausführung von maschinellen Lernaufgaben in Kubernetes geworden. Nodes, die für ML-Aufgaben verwendet werden, sind oft relativ leistungsstark und enthalten in einigen Fällen GPUs. Diese Tatsache macht Kubernetes-Cluster, die für ML-Aufgaben verwendet werden, zu einem perfekten Ziel für Crypto-Mining-Angriffe, was das Ziel dieses Angriffs war.
Falsch konfigurierte Nodes öffnen Hackern die Tür
Das Azure Security Center (ASC) konnte feststellen, dass der Zugangsvektor des Angriffs das Kubeflow-Framework war. Das ASC entdeckte verdächtigen Code in einer Datenablage innerhalb von Clustern der Lernmaschine. Auf diesem Bild arbeitete der XMRIG-Miner, wie im nächsten Bild zu sehen ist: 
Quelle: https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/.Nach Angaben des ASC besteht der Rahmen der Lernmaschine Kubeflow aus mehreren Diensten. Dazu gehört ein Rahmen für Trainingsmodelle sowie ein Katib- und Jupyter-Server. Benutzer der virtuellen Maschine greifen auf diese Dienste über ein internes Dashboard vom Kubeflow-Knotenpunkt aus zu. Die Konfiguration des Dashboards kann nach den Bedürfnissen des Nutzers angepasst werden, wie auch in diesem Fall geschehen.
Diese individuell eingerichtete Konfiguration erlaubte es den Hackern einen einfachen Einstiegspunkt zu finden (frei übersetzt):
Benutzer sollten Port-Forward verwenden, um auf das Dashboard zuzugreifen (das den Verkehr über den API-Server von Kubernetes tunnelt). (…) Ohne diese Aktion erfordert der Zugriff auf das Dashboard ein Tunneln über den Kubernetes-API-Server. Indem der Dienst dem Internet ausgesetzt wird, können die Benutzer direkt auf das Dashboard zugreifen. Dieser Vorgang ermöglicht jedoch einen unsicheren Zugriff auf das Kubeflow-Dashboard, so dass jedermann Operationen in Kubeflow durchführen kann, einschließlich der Bereitstellung neuer Container im Cluster.
Auf diese Weise können Angreifer auf das Dashboard von Kubeflow zugreifen und einen bösartigen Backdoor-Container einsetzen. Mit dieser Methode können Angreifer ein bösartiges Bild wie das oben gezeigte auf den Jupyter-Notebook-Server hochladen, um Monero zu schürfen. Das Azure Security Center gab eine Reihe von Empfehlungen zur Verhinderung dieser Angriffe und forderte seine Benutzer auf, die Sicherheitsaspekte bei der Verwendung von Kubeflow zu überprüfen.
Wie Crypto News Flash bereits berichtete, ist Monero eine der bevorzugten Kryptowährungen für diese Art von Angriffen. Aufgrund seiner Eigenschaften ist die Identität der Angreifer geschützt. Im Mai enthüllten eine Reihe von Berichten anerkannter wissenschaftlicher Institutionen, wie z.B. des National Supercomputing Service des Vereinigten Königreichs, dass Angreifer die Rechenleistung ihrer Supercomputer nutzten, um Monero zu minen. Zu den betroffenen Ländern gehörten das Vereinigte Königreich, Deutschland, die Schweiz und Spanien.
