mayo 13, 2021

Los clústeres de aprendizaje automático en Azure han sido secuestrados para extraer criptomonedas

Imagen compuesta estilizada de bitcoin contra placas base.

Los atacantes recientemente secuestraron poderosos clústeres de aprendizaje automático dentro del servicio de computación en la nube Azure de Microsoft para poder extraer criptomonedas a expensas de los clientes que los alquilaron, dijo la compañía el miércoles.

Los nodos, que los clientes configuraron incorrectamente, fueron el objetivo perfecto para los llamados esquemas de criptojacking. Las actividades de aprendizaje automático generalmente requieren grandes cantidades de recursos de procesamiento. Al redirigirlos para realizar las cargas de trabajo computacionalmente intensivas requeridas para extraer monedas digitales, los atacantes encontraron una manera de generar grandes cantidades de dinero a bajo costo o sin costo.

Los clústeres infectados ejecutaban Kubeflow, un marco de código abierto para aplicaciones de aprendizaje automático en Kubernetes, que en sí mismo es una plataforma de código abierto para distribuir aplicaciones escalables en una gran cantidad de computadoras. Microsoft afirmó que los grupos comprometidos descubiertos están numerados en las «decenas». Muchos de ellos administraron una imagen disponible desde un repositorio público, aparentemente para salvar a los usuarios de la molestia de crear una por su cuenta. Después de más controles, los investigadores de Microsoft descubrieron que contenía código que socavaba en secreto la criptomoneda Monero.

¿Como hiciste?

Después de encontrar los grupos infectados, los investigadores centraron su atención en cómo se comprometieron las máquinas. Por razones de seguridad, el panel de control que permite a los administradores controlar Kubeflow es, de forma predeterminada, solo accesible a través de istio ingress, una puerta de enlace que generalmente se encuentra en el borde de la red del clúster. La configuración predeterminada evita que las personas en Internet accedan al tablero y realicen cambios no autorizados en el clúster.

En una publicación publicada el miércoles, Yossi Weizman, ingeniero de software de investigación de seguridad en Azure Security Center, dijo que algunos usuarios cambian la configuración.

«Creemos que algunos usuarios han optado por hacerlo por conveniencia», escribió Weizman. «Sin esta acción, el acceso al tablero requiere un túnel a través del servidor API de Kubernetes y no es directo. Al exponer el servicio a Internet, los usuarios pueden acceder directamente al tablero. Sin embargo, esta operación permite el acceso inseguro al tablero de Kubeflow, que permite a cualquier persona realizar operaciones en Kubeflow, incluida la distribución de nuevos contenedores en el clúster «.

Una vez que los atacantes tienen acceso al tablero, tienen más opciones para implementar contenedores de puerta trasera en el clúster. Por ejemplo, los usuarios malintencionados pueden crear el llamado servidor Jupyter Notebook que se ejecuta en el clúster. Luego pueden colocar una imagen maliciosa dentro del Jupyter Notebook. En caso de que un portátil Jupyter ya esté instalado, puede modificarse de forma maliciosa.

La publicación del miércoles ofrece varias formas en que los usuarios pueden verificar si su clúster se ha visto comprometido.

«En el pasado, el Centro de seguridad de Azure detectó múltiples campañas contra clústeres de Kubernetes que tienen un vector de acceso similar: un servicio expuesto a Internet», escribió Weizman. «Sin embargo, esta es la primera vez que identificamos un ataque dirigido específicamente a entornos de Kubeflow».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *