- Os clientes afiliados à rede de computadores Azure da Microsoft configuraram mal alguns nós e permitiram que os hackers os utilizassem para minerar Monero (XMR).
- Os ataques afetaram 10 nós da máquina de aprendizagem Kubeflow que faz parte da rede Azure.
Em um relatório de 10 de junho, a Microsoft revelou detalhes sobre a descoberta de uma vulnerabilidade que foi explorada por atacantes em sua rede de computadores Azure. O relatório foi publicado por Yossi Weizman, um engenheiro de software de pesquisa de segurança do Centro de Segurança Azure (ASC). A vulnerabilidade permitiu que atacantes utilizassem a rede Azure, através dos nós de uma máquina de aprendizagem chamada Kubeflow para minerar Monero (XMR).
Kubeflow é um conjunto de ferramentas de máquinas de aprendizagem para a plataforma Kubernetes. A Microsoft afirma que Kubeflow ganhou popularidade e, devido ao seu poder computacional, tornou-se um alvo de ataques cibernéticos:
Kubeflow cresceu e tornou-se uma estrutura popular para executar tarefas de aprendizagem de máquinas em Kubernetes. Os nós que são usados para tarefas ML são frequentemente relativamente poderosos, e em alguns casos incluem GPUs. Este facto torna os clusters de Kubernetes que são utilizados para tarefas ML um alvo perfeito para campanhas de crypto mining, que era o objectivo deste ataque.
Nós mal configurados permitiram que o hacker minerasse Monero (XMR)
O Centro de Segurança Azure foi capaz de determinar que o vetor de acesso do ataque era a estrutura Kubeflow. O ASC descobriu uma imagem suspeita em um repositório de dados dentro de clusters da máquina de aprendizagem. Esta imagem estava rodando o minerador XMRIG, como visto abaixo.
Segundo a ASC, a estrutura da máquina de aprendizagem Kubeflow é composta por vários serviços, incluindo: estrutura para modelos de treinamento, servidores Katib e Jupyter, entre outros. Os usuários da máquina virtual acessam estes serviços através de um painel interno a partir do nó Kubeflow. A configuração do dashboard pode ser alterada para a conveniência do usuário, como foi o caso deste ataque segundo o Centro de Segurança Azure. No entanto, esta configuração permitiu que os nós fossem expostos à internet e os deixou suscetíveis a ataques:
Os usuários devem usar o port-forward para acessar o painel (que túne o tráfego através do servidor da API Kubernetes). (…) sem esta ação, o acesso ao painel requer túneis através do servidor da API Kubernetes e não é direto. Ao expor o Serviço à Internet, os usuários podem acessar diretamente ao painel de controle. No entanto, esta operação permite o acesso inseguro ao painel Kubeflow, o que permite a qualquer pessoa realizar operações no Kubeflow, incluindo a implantação de novos containers no cluster.
Desta forma, os atacantes podem acessar o painel de controle do Kubeflow e podem implantar um contêiner malicioso de porta traseira. Usando este método, os atacantes podem carregar uma imagem maliciosa como a mostrada acima para o servidor de notebooks Jupyter para a mina Monero. O Azure Security Center fez uma série de recomendações para prevenir estes ataques e convidou seus usuários a reverem os aspectos de segurança ao usar o Kubeflow.
Como relatado pela CNF, Monero é uma das criptomoedas preferidas para estes ataques. Devido às suas características, a identidade dos atacantes é protegida. Em maio, uma série de relatórios de instituições científicas reconhecidas, como o Serviço Nacional de Supercomputação do Reino Unido, revelou que os atacantes utilizaram o poder computacional de seus supercomputadores para minerar Monero. Entre os países afetados estavam o Reino Unido, Alemanha, Suíça e Espanha.
