Secondo un’analisi della società israeliana di sicurezza informatica Intezer, i criminali informatici del TeamTNT hanno preso di mira, con esito favorevole, i sistemi virtuali degli ambienti cloud Docker e Kubernetes.
Si tratta di un utilizzo “irregolare” degli strumenti di monitoraggio del cloud, fuori dallo scopo per il quale sono stati concepiti, andando ad installare delle backdoor: piuttosto che ricorrere a malware o stringhe di codice malevolo, attraverso il software Wave Scope, di per sé legittimo se usato dagli amministratori di sistema come strumento di visualizzazione e monitoraggio per i servizi virtuali, i cybercriminali sono riusciti a mappare l’ambiente cloud delle vittime, molto spesso dotato di un livello di sicurezza fin troppo basso, fino ad eseguire comandi di sistema che permettono di arrivare a prendere il completo controllo delle macchine virtuali.
L’obiettivo principale pare sia l’utilizzo dei sistemi virtuali per generare denaro sfruttando i computer come dei parassiti per coniare criptovalute.
Da quel che è emerso, una volta che gli aggressori si sono fatti strada nel sistema bersaglio, hanno impostato un contenitore privilegiato con un sistema operativo Ubuntu nuovo, utilizzandolo per scaricare un malware di cryptocurrency mining e un bot DDoS ed eseguire cryptominer, ottenere l’accesso come root al server, così da creare un utente privilegiato locale denominato “hilde” per connettersi al server tramite SSH ed eventualmente installare Weave Scope.
Lo stesso attacco è stato anche utilizzato per esfiltrare le credenziali di login di Amazon Web Services e attaccare ulteriori macchine virtuali.
Permane il rischio che il cryptomining si trasformi ben presto in un Cryptojacking, ossia quella varianti del primo ben più dannosa, in grado di infiltrarsi nei browser web e di compromettere ogni tipo di dispositivo, dai PC fino agli smartphone e perfino i server di rete, rimanendo nascosta e rallentando il sistema senza che l’utente si renda conto di alcunché.
Non va tralasciato il pericolo che i criminali, una volta riusciti a compromettere i sistemi aziendali per creare criptovalute, in parte a causa degli endpoint API esposti, li rendano un obiettivo interessante per i criminali informatici in cerca di notizie riservate, documenti e tutto ciò che possa esser utili, direttamente o indirettamente, al fine di avere un vantaggio economico.
Dal momento che Wave Scope utilizza la porta di default 4040, il suggerimento è quello di chiuderla o quantomeno limitarla attraverso firewall per evitare spiacevoli intrusioni.
