Хакеры использовали облачные мощности Tesla для майнинга криптовалюты

Как пишет SecurityLab, неизвестным хакерам удалось проникнуть в облачную среду Tesla через незащищенную консоль Kubernetes – систему с открытым исходным кодом для управления приложениями. В консоль были включены учетные данные для входа в используемые компанией сервисы Amazon Web Service. Получив доступ к консоли, злоумышленники смогли запустить скрипты для тайного майнинга криптовалюты.

В отличие от других подобных инцидентов в случае с Tesla хакеры не использовали хорошо известный публичный пул для майнинга. Они установили ПО для пула и настроили вредоносный скрипт таким образом, чтобы он подключался к незарегистрированной или полу-публичной конечной точке. Таким образом хакерам удалось обойти стандартные решения для обнаружения угроз на базе IP/доменов.

Злоумышленники спрятали настоящий IP-адрес пула за защитой CloudFlare. Кроме того, майнер прослушивал трафик по нестандартному порту, тем самым обходя решения, фиксирующие подозрительную активность по трафику портов. С целью как можно дольше оставаться незамеченными хакеры не использовали мощности процессоров на полную.

Tesla – не единственная компания, подвергшаяся так называемому «криптоджекингу» (cryptojacking — тайная добыча криптовалюты за счет мощностей чужих компьютеров с помощью внедренных в сайты скриптов или путем заражения устройств пользователей ПО для майнинга) через панель администрирования Kubernete. По словам исследователей из RedLock , жертвами хакеров также стали крупная британская страховая компания Aviva и крупнейший в мире производитель SIM-карт Gemalto. Получив доступ к панели, злоумышленники завладели их учетными данными для авторизации в Amazon Web Service и Microsoft Azure.