Cryptominers benutten Tesla's cloudkracht
Ondernemende cybercriminelen hebben zichzelf toegang verschaft tot cloudsystemen van autofabrikant Tesla om op die krachtige systemen software te draaien die virtuele valuta ‘ontgint’. Technisch gezien is dit misschien geen hack: de misbruikte beheerconsole had namelijk geen wachtwoord.
© Tesla
Tesla
Ingenieurs bij Tesla waren vergeten om een wachtwoord in te stellen voor toegang tot de Kubernetes-console die zij gebruiken om containers in de cloud te beheren. Dit is ontdekt door securitybedrijf RedLock, dat enkele maanden geleden al honderden wachtwoordloze Kubernetes-beheerconsoles heeft gevonden.
Rekenkracht stelen
Onder de openstaande gebruikers van die cloudbeheeromgeving bevinden zich naast Tesla ook bedrijven als verzekeringsmaatschappij Aviva en Gemalto. Laatstgenoemde is een Nederlandse onderneming die bij velen bekend is als maker van SIM-kaarten maar die zich ook richt op digitale beveiliging.
De Kubernetes-consoles geven zonder wachtwoord elke bezoeker toegang tot de gekoppelde cloudomgevingen die kunnen draaien bij Microsoft (Azure) of bij Amazon (AWS). RedLock heeft bepaald dat deze wijd open toegang in enkele gevallen is benut om cryptojacking te plegen. Dit is het kapen van andermans rekencapaciteit om cryptovaluta zoals Monero te laten ‘ontginnen’.
Sluwe, stiekeme aanpak
Uit nieuw onderzoek van RedLock blijkt dat ook de AWS-cloudservers van automaker Tesla voor dit doel zijn gehackt. Deze aanval vertoonde overeenkomsten met de eerdere cryptojacking-aanvallen bij Aviva en Gemalto, maar was niet geheel hetzelfde, merkt RedLock op. De onderzoekers van het securitybedrijf hebben gededuceerd dat de daders enkele geavanceerde middelen hebben gebruikt om ontdekking te vermijden.
Zo hebben de malafide cryptominers niet een publieke ‘mining pool’ gebruikt voor hun Monero-winning, maar in plaats daarvan eigen software ingesteld voor het met gezamenlijke rekenkracht ontginnen van cryptovaluta. Daarbij hebben de hackers ook een niet publiekelijk bekend cryptovaluta-ontvangstadres ingesteld, het IP-adres van hun mining-server verborgen achter CDN-aanbieder (content delivery network) CloudFlare, en hun miningmalware via een niet-standaard poort aangestuurd.
Niet op vol vermogen
Tot slot hebben de dieven bewust niet gekozen voor maximale benutting van de door hun gestolen rekenkracht. De mining-malware die was geïnstalleerd op Tesla’s cloudservers stond geconfigureerd om het gebruik relatief laag te houden. Dit diende ook om detectie te vermijden, doordat de cloudcapaciteit dan niet ineens veel hoger was dan normaal. Het monitoren op hoog processorgebruik is een bekend tegenmiddel voor cryptojacking, ook voor interne serversoftware.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee