Phát hiện ra cuộc tấn công đám mây đầu tiên lạm dụng công cụ hợp pháp

Được gọi là TeamTNT, trước đây nhóm này đã từng sử dụng một sâu (worm) để nhắm mục tiêu vào các hệ thống Docker (nền tảng phần mềm cho phép dựng, kiểm thử và triển khai ứng dụng) và Kubernetes (nền tảng nguồn mở, khả chuyển, có thể mở rộng để quản lý các ứng dụng được đóng gói và các dịch vụ, giúp thuận lợi trong việc cấu hình và tự động hóa việc triển khai ứng dụng) nhằm tìm kiếm và trích xuất các thông tin đăng nhập nội bộ, bao gồm cả thông tin đăng nhập nền tảng điện toán đám mây AWS (Amazon Web Services). Nhóm tin tặc đã triển khai những công cụ khai thác tiền điện tử trên các máy bị ảnh hưởng.

Tuy nhiên, trong một cuộc tấn công gần đây, tin tặc đã thay đổi chiến thuật, chúng sử dụng Weave Scope để lập bản đồ môi trường đám mây và thực thi các lệnh.

Weave Scope cung cấp khả năng giám sát, hiển thị, điều khiển cho Docker và Kubernetes, hệ điều hành đám mây phân tán (DC/OS - Distributed Cloud Operating System) và hạ tầng tính toán trên nền tảng điện toán đám mây được cung cấp bởi Amazon Web Service (AWS).

Intezer giải thích rằng, các cuộc tấn công TeamTNT thường bắt đầu bằng các hình ảnh Docker độc hại lưu trữ trên Docker Hub, kèm theo cả việc khai thác tiền điện tử và các tập lệnh có chứa mã độc. Tấn công mới cũng lợi dụng công cụ Weave Scope nguồn mở hợp pháp để chiếm cơ sở hạ tầng đám mây của nạn nhân.

Cổng API của Docker bị khai thác được lợi dụng để tạo một vùng chứa (container) đặc quyền mới, trên đó khởi chạy một hình ảnh Ubuntu sạch. Các tin tặc cấu hình vùng chứa để hệ thống tệp tin của vùng chứa này được định vị tới máy chủ của nạn nhân sau đó chiếm quyền truy nhập các tệp tin trên máy chủ.

Tiếp đó, những kẻ tấn công "chỉ thị" vùng chứa tải về và khởi chạy một khai thác tiền điện tử và cố gắng nâng cao đặc quyền thành quyền truy nhập gốc (root) bằng cách cài đặt cho người dùng cục bộ quyền "ẩn" trên máy chủ lưu trữ và kết nối với nó thông qua giao thức SSH.

Tại thời điểm này, Weave Scope được tải về và cài đặt để kiểm soát môi trường đám mây của nạn nhân. Bảng điều khiển Weave Scope hiển thị một bản đồ ảo của cơ sở hạ tầng Docker và cho phép các tin tặc thực thi lệnh shell (một môi trường có thể chạy các lệnh và chương trình) mà không cần cài đặt phần mềm.

Intezer lưu ý rằng: "Trường hợp này không chỉ hiếm gặp mà theo hiểu biết của chúng tôi, đây là lần đầu tiên tin tặc tải về phần mềm hợp pháp để sử dụng làm công cụ quản trị trên hệ điều hành Linux".

Để luôn được bảo vệ, các tổ chức phải thận trọng đóng các cổng API Docker bị khai thác và chặn các kết nối tới cổng 4040 (sử dụng để truy nhập bào bảng điều khiển Weave Scope). Đồng thời cần tuân thủ những hoạt động tối ưu nhất khi bảo mật các môi trường Docker và cài đặt giải pháp bảo mật để bảo vệ các máy chủ đám mây Linux và các vùng chứa.

Ngoài ra, triển khai chính sách tập trung vào bảo mật theo mô hình Zero Trust Execution (ZTE) cho các tải làm việc (workload) cũng sẽ giúp ngăn chặn các tấn công của TeamTNT, vì nó tạo ra một giới hạn công việc và giám sát cũng như ngăn chặn việc thực thi bất kỳ mã hoặc ứng dụng trái phép nào.