Los hackers secuestraron la nube de Tesla para minar la criptomoneda

El criptock solo se fusionó como una clase de ataque hace unos seis meses, pero ya el enfoque ha evolucionado y se ha convertido en una amenaza omnipresente. Los hacks que cooptan el poder de cómputo para la minería de criptomonedas ilícitas ahora se dirigen a una amplia gama de víctimas, desde consumidores individuales hasta instituciones masivas, incluso sistemas de control industrial . Pero la última víctima no es un internauta anónimo o un Starbucks en Buenos Aires. Es Tesla .

Investigadores de la empresa de control y defensa en la nube Red Lock publicaron el martes hallazgos de que parte de la infraestructura de la nube Amazon Web Services de Tesla estaba ejecutando malware de minería en una campaña de criptockeo de largo alcance y bien escondida. Los investigadores revelaron la infección a Tesla el mes pasado, y la compañía se movió rápidamente para descontaminar y bloquear su plataforma en la nube dentro de un día. La investigación inicial del fabricante de automóviles indica que la exposición de datos fue mínima, pero el incidente subraya las formas en que el cryptojacking puede suponer una gran amenaza para la seguridad, además de acumular una enorme factura de electricidad.

El Hack

Red Lock descubrió la intrusión mientras escaneaba Internet pública en busca de servidores en la nube mal configurados y no seguros, una práctica de la que dependen cada vez más defensores a medida que se disparan las exposiciones erróneas a partir de las configuraciones erróneas de la base de datos .

«Nos alertaron de que este es un servidor abierto y cuando lo investigamos aún más, fue cuando vimos que en realidad estaba ejecutando un Kubernetes, que estaba haciendo cryptomining», dice Gaurav Kumar, director de tecnología de Red Lock, refiriéndose al popular abierto -Consola administrativa de recursos para la gestión de aplicaciones en la nube. «Y luego encontramos que, oh, realmente le pertenece a Tesla». Ya sabes, casual.

Los atacantes aparentemente habían descubierto que esta consola particular de Kubernetes -un portal administrativo para la administración de aplicaciones en la nube- no estaba protegida con contraseña y, por lo tanto, cualquiera podía acceder a ella. Desde allí, habrían encontrado, como lo hicieron los investigadores de Red Lock, que uno de los «pods» o contenedores de almacenamiento de la consola incluía credenciales de inicio de sesión para un entorno en la nube más amplio de Tesla Amazon Web Services. Esto les permitió profundizar, implementando scripts para establecer su operación de criptock, que fue construida en el popular protocolo de extracción de bitcoin Stratum.

¿Quién está afectado?

Red Lock dice que es difícil calcular exactamente cuánto minaron los atacantes antes de ser descubiertos. Pero señalan que las redes empresariales, y particularmente las plataformas públicas en la nube, son objetivos cada vez más populares para los criptóqueos, ya que ofrecen una gran cantidad de potencia de procesamiento en un entorno donde los atacantes pueden explotar bajo el radar ya que el uso de CPU y electricidad alto. Al viajar en una cuenta corporativa tan grande como la de Tesla, los atacantes podrían haber minado indefinidamente sin un impacto notable.

La infección de Tesla muestra no solo la descaro de los cryptojackers, sino también cómo sus ataques se han vuelto más sutiles y sofisticados.

Desde la perspectiva del consumidor, la comprometida plataforma en la nube de Tesla también contenía un cubo S3 que parecía albergar datos patentados sensibles, como información de vehículos y mapas y otros instrumentos de telemetría. Los investigadores dicen que no investigaron qué información podría haber estado expuesta a los atacantes, como parte de su compromiso con la piratería ética.

Un portavoz de Tesla dijo en un comunicado que el riesgo era mínimo: «Abordamos esta vulnerabilidad unas horas después de conocerla. El impacto parece estar limitado a los autos de prueba de ingeniería usados ​​internamente, y nuestra investigación inicial no encontró indicios de que la privacidad del cliente o la seguridad del vehículo se viera comprometida de ninguna manera «.

Aún así, los datos sobre los autos de prueba solos podrían ser extremadamente valiosos provenientes de una compañía como Tesla, que trabaja en productos de próxima generación como la automatización sin conductor.

Los investigadores de Red Lock presentaron sus hallazgos a través del programa de bonificación de errores de Tesla. La compañía de Elon Musk les otorgó más de $ 3,000 por el descubrimiento, que Red Lock donó a la caridad.

¿Qué tan serio es esto?

Este incidente en sí es solo un ejemplo en una lista cada vez mayor de compromisos de cryptojacking de alto perfil. Justo la semana pasada, los investigadores de la firma de seguridad Check Point dijeron que los atacantes hicieron más de $ 3 millones al minar a Monero en los servidores de la popular aplicación de desarrollo web Jenkins. Sin embargo, la infección de Tesla es particularmente notable, porque muestra no solo la descaro de los cryptojackers, sino también cómo sus ataques se han vuelto más sutiles y sofisticados.

Kumar de Red Lock observa que los atacantes de Tesla tenían su propio servidor de minería, lo que hacía menos probable que cayera en listas negras de escáneres de malware. El malware de minería también se comunicó con el servidor del atacante en un puerto IP inusual, por lo que es menos probable que un escáner de puerto lo detecte como malicioso. Y las técnicas de ofuscación no se detuvieron allí. Todas las comunicaciones de ataque ocurrieron a través del cifrado web SSL para ocultar su contenido de las herramientas de monitoreo de seguridad, y el servidor de minería también usó un servidor proxy como intermediario para enmascararlo y hacerlo menos rastreable.

Red Lock dice que los atacantes obtuvieron servicios de proxy gratuitos y el certificado SSL de la firma de infraestructura de Internet Cloudflare, que ofrece estos servicios gratuitos para que cualquier persona pueda acceder a herramientas de privacidad y seguridad web, pero trata de cómo los malos actores pueden abusar de ellas.

La buena noticia de que los atacantes invierten tiempo y energía para ocultar sus operaciones es que significa que los esfuerzos defensivos de primera línea están funcionando. Pero también significa que la recompensa por ejecutar los ataques hace que valga la pena implementar esas maniobras avanzadas. En unos meses, cryptojacking ha llegado decididamente a esta fase. «Lo más importante a tener en cuenta aquí es el hecho de que la nube pública se está convirtiendo rápidamente en un objetivo, específicamente porque es un objetivo fácil», dice el vicepresidente de Red Lock, Upa Campbell. «El beneficio de la nube es la agilidad, pero la desventaja es que la probabilidad de error del usuario es mayor. Las organizaciones están realmente luchando».

Jumping Cryptojacks

Lee mas

Por admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.