Overslaan en naar de inhoud gaan

Cryptominers benutten Tesla's cloudkracht

Ondernemende cybercriminelen hebben zichzelf toegang verschaft tot cloudsystemen van autofabrikant Tesla om op die krachtige systemen software te draaien die virtuele valuta ‘ontgint’. Technisch gezien is dit misschien geen hack: de misbruikte beheerconsole had namelijk geen wachtwoord.
Tesla
© Tesla
Tesla

Ingenieurs bij Tesla waren vergeten om een wachtwoord in te stellen voor toegang tot de Kubernetes-console die zij gebruiken om containers in de cloud te beheren. Dit is ontdekt door securitybedrijf RedLock, dat enkele maanden geleden al honderden wachtwoordloze Kubernetes-beheerconsoles heeft gevonden.

Rekenkracht stelen

Onder de openstaande gebruikers van die cloudbeheeromgeving bevinden zich naast Tesla ook bedrijven als verzekeringsmaatschappij Aviva en Gemalto. Laatstgenoemde is een Nederlandse onderneming die bij velen bekend is als maker van SIM-kaarten maar die zich ook richt op digitale beveiliging.

De Kubernetes-consoles geven zonder wachtwoord elke bezoeker toegang tot de gekoppelde cloudomgevingen die kunnen draaien bij Microsoft (Azure) of bij Amazon (AWS). RedLock heeft bepaald dat deze wijd open toegang in enkele gevallen is benut om cryptojacking te plegen. Dit is het kapen van andermans rekencapaciteit om cryptovaluta zoals Monero te laten ‘ontginnen’.

Sluwe, stiekeme aanpak

Uit nieuw onderzoek van RedLock blijkt dat ook de AWS-cloudservers van automaker Tesla voor dit doel zijn gehackt. Deze aanval vertoonde overeenkomsten met de eerdere cryptojacking-aanvallen bij Aviva en Gemalto, maar was niet geheel hetzelfde, merkt RedLock op. De onderzoekers van het securitybedrijf hebben gededuceerd dat de daders enkele geavanceerde middelen hebben gebruikt om ontdekking te vermijden.

Zo hebben de malafide cryptominers niet een publieke ‘mining pool’ gebruikt voor hun Monero-winning, maar in plaats daarvan eigen software ingesteld voor het met gezamenlijke rekenkracht ontginnen van cryptovaluta. Daarbij hebben de hackers ook een niet publiekelijk bekend cryptovaluta-ontvangstadres ingesteld, het IP-adres van hun mining-server verborgen achter CDN-aanbieder (content delivery network) CloudFlare, en hun miningmalware via een niet-standaard poort aangestuurd.

Niet op vol vermogen

Tot slot hebben de dieven bewust niet gekozen voor maximale benutting van de door hun gestolen rekenkracht. De mining-malware die was geïnstalleerd op Tesla’s cloudservers stond geconfigureerd om het gebruik relatief laag te houden. Dit diende ook om detectie te vermijden, doordat de cloudcapaciteit dan niet ineens veel hoger was dan normaal. Het monitoren op hoog processorgebruik is een bekend tegenmiddel voor cryptojacking, ook voor interne serversoftware.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in