Исследователи кибербезопасности из Unit 42 опубликовали информацию о новой вредоносной кампании скрытого майнинга Monero, нацеленной на программу Kubernetes.
Kubernetes — это программа или набор узлов для управления контейнерными приложениями. По словам Unit 42, злоумышленники получают доступ через неправильно настроенный Kubelet — имя агента, который работает на каждом узле в кластере. После того, как кластер Kubelet скомпрометирован, вредоносная программа распространяется по максимально возможному количеству контейнеров, в конечном итоге формируя сеть для криптомайнинга.
Исследователи назвали этот тип майнинга Hildegard. Они считает, что за ним стоит группа TeamTNT, которая ранее через Amazon Web Services распространила скрытый майнер на миллионы IP-адресов. Однако исследователи отмечают, что Hildegard обладает инновационными возможностями, которые делают его «более замаскированным и устойчивым». Причем они уверены, что сейчас Hildegard только разрабатывается и тестируется, а дальше последует крупномасштабная атака.
«Вредоносная программа может использовать вычислительные ресурсы в средах Kubernetes для майнинга и заодно извлекать конфиденциальные данные из тысяч приложений, работающих в кластерах», — говорят исследователи.
В связи с тем, что кластер Kubernetes обычно содержит более одного хоста, и что каждый хост, в свою очередь, может запускать несколько контейнеров, злоумышленники смогут поражать множество целей за короткий промежуток времени.
