Monero-Miner zielen auf Cloud-native Entwicklungsumgebungen ab

Sicherheitsforscher haben eine Wiederbelebung von Angriffen auf GitHub und Docker Hub zum Schürfen von Kryptowährung entdeckt.

Laut Forschern des Cybersicherheitsunternehmens Aqua Security haben die Angreifer in nur vier Tagen 92 bösartige Docker-Hub-Register und 92 Bitbucket-Repositories eingerichtet, um diese Ressourcen für das Kryptowährungs-Mining zu missbrauchen. Im vergangenen September entdeckte das Team eine ähnliche Kampagne, die automatisierte Build-Prozesse auf GitHub und Docker Hub nutzte, um Kryptowährungs-Miner zu erstellen.

Forscher sagten, Hacker hätten einen kontinuierlichen Integrationsprozess geschaffen, der jede Stunde mehrere automatische Build-Prozesse initiiert. Bei jedem Build wird ein Monero Cryptominer ausgeführt.

Bei dem Angriff erstellten Hacker mehrere gefälschte E-Mail-Konten über einen kostenlosen russischen E-Mail-Dienstanbieter. Anschließend richteten sie ein Bitbucket-Konto mit einigen Repositories ein. Um der Entdeckung zu entgehen, wurde jedes unter Verwendung der offiziellen Projektdokumentation als gutartiges Projekt getarnt.

Hacker erstellten daraufhin einen Docker-Hub mit mehreren Registrierungen. Jede Registry stellte sich als gutartig dar und benutzte ihre Dokumentation, um der Entdeckung zu entgehen. Die Bilder basieren auf den Umgebungen dieser Dienstanbieter und kapern dann ihre Ressourcen, um Kryptowährungen zu schürfen.

„Diese Kampagne zeigt die ständig wachsende Raffinesse von Angriffen, die auf den Cloud-nativen Stack abzielen“, sagt Assaf Morag von Aqua Security. „Böswillige Akteure entwickeln ständig ihre Techniken weiter, um Cloud-Rechenressourcen für das Kryptowährungs-Mining zu kapern und auszunutzen. Es erinnert uns auch daran, dass Entwicklerumgebungen in der Cloud ein lukratives Ziel für Angreifer darstellen, da sie normalerweise nicht das gleiche Maß an Sicherheitsprüfung erhalten.“

Tim Mackey, leitender Sicherheitsstratege beim CyRC (Cybersecurity Research Centre) von Synopsys, gegenüber ITPro dass die zum Erstellen von Software verwendeten Build-Systeme immer gesichert werden sollten, um sicherzustellen, dass sie nur Anforderungen im Zusammenhang mit legitimen Projekten verarbeiten.

„Dafür gibt es viele Gründe, aber der wichtigste davon ist sicherzustellen, dass das, was gebaut wird, auch gebaut werden sollte. Wenn Build-Systeme und Build-Prozesse auf Cloud-basierte Systeme verlagert werden, erstreckt sich das Risikoprofil für das Build-System nun auch auf die Fähigkeiten des Cloud-Anbieters. Während große öffentliche Anbieter von Softwareentwicklungsdiensten wie GitHub oder Docker über Schutzmaßnahmen verfügen, um das Kundenrisiko zu begrenzen, sind sie, wie dieser Bericht zeigt, nicht vor Angriffen gefeit“, sagte Mackey.

Mackey fügte hinzu, dass dieses Angriffsmuster jedem, der einen Cloud-basierten Build-Prozess betreibt, als Chance dienen sollte, nicht nur den Anbietern solcher Dienste.

„Wenn es eine Möglichkeit gibt, dass nicht genehmigter Code oder nicht genehmigte Konfigurationen in Ihr Build-System gelangen, könnten die von Ihren Build-Pipelines ausgeführten Aktionen unter der Kontrolle eines Angreifers stehen. Der Ressourcenverbrauch könnte geringfügig bis zu einem Punkt ansteigen, an dem Bauaufträge nicht so vorankommen, wie sie sollten – eine Situation, die sich direkt auf die Lieferpläne auswirken könnte“, sagte er.