سوءاستفاده هکرها از مایکروسافت آژور برای استخراج رمز ارز

زوميت

بروزرسانی 1399/03/23 - 22:34

سوءاستفاده هکرها از مایکروسافت آژور برای استخراج رمز ارز

زوميت/ اطلاعيه‌ي رسمي مايکروسافت اعلام مي‌کند که به‌تازگي فرد يا افرادي سودجو با سوءاستفاده از کلاسترهاي آژور اقدام به استخراج رمزارز کرده‌اند. مايکروسافت چهارشنبه‌ي گذشته از ربوده‌شدن شماري از کلاسترهاي داخل سرويس رايانش ابري آژور (Microsoft Azure) خبر داد. براساس اين گزارش اخيرا افراد سودجو اقدام‌به ربودن کلاسترهاي قدرتمند مبتني‌بر يادگيري ماشين سرويس آژور کرده‌اند تا ازطريق آن‌ها بتوانند بدون پرداخت هزينه و به‌لطف هزينه‌ي پرداخت‌شده توسط مشتريان مايکروسافت، به استخراج (ماينينگ) رمزارز مشغول شوند. کلاسترهايي که به‌اشتباه توسط مشتريان پيکربندي‌ شده‌ بودند به‌هدفي بسيار عالي براي افراد سودجو و اقدامي با عنوان «طرح‌هاي ربايش رمزارز» تبديل شدند. وظايف مبتني‌بر فناوري يادگيري ماشين به‌طور معمول نيازمند مقادير عظيم و متنوعي از منابع رايانشي هستند. افراد سودجو با انجام کارهايي خاص مي‌توانند اهداف کاري سيستم را تغيير دهند و از منابع رايانشي عظيمي که دردسترس قرار دارد به‌منظور استخراج سکه‌هاي ديجيتالي استفاده کنند. بدين ترتيب افراد سودجو با حمله‌ به کلاسترهاي مايکروسافت آژور به‌منابع عظيمي دست مي‌يابند و مي‌توانند با هزينه‌ي بسيار کم يا در بسياري از مواقع بدون هيچ‌گونه‌ هزينه‌ي اضافي به استخراج رمزارز بپردازند. کلاسترهاي متأثرشده از حمله‌ي سايبري اخير ظاهرا مبتني‌بر پلتفرم Kubeflow بوده‌اند. Kubeflow را مي‌توان فريم‌ورکي متن‌باز براي کارهاي حوزه‌ي يادگيري ماشين به‌حساب آورد که خود بخشي از سيستم Kubernetes به‌حساب مي‌آيد. Kubernetes نيز به‌صورت مستقل فريم‌ورکي متن‌باز است که ازطريق آن مي‌توان وظايف مقياس‌پذير متنوعي را در شمار زيادي از رايانه‌ها، پياده‌سازي کرد. مايکروسافت در بيانيه‌ي جديد خود مي‌گويد شمار کلاسترهاي ربوده‌شده به ده‌ها مورد مي‌رسد. بسياري از اين کلاسترها درحال اجراي فايلي بوده‌اند که در مخزن مجازي عمومي خاصي قرار داشته است. اين مخزن باعث مي‌شود هر يک از کاربران مجبور نباشد فايل موردبحث را به‌صورت مستقل بسازد و به‌همين ترتيب در زمان او صرفه‌جويي مي‌شود. بازرسان مايکروسافت پس از بررسي‌هاي بيشتر متوجه شدند مخزن مجازي موردبحث درخود کدي داشته که به‌شکل محرمانه درحال استخراج رمزارز مونرو (Monero) بوده است. ممکن است براي‌تان سؤال پيش بيايد که انجام چنين کاري چگونه ممکن است؟ بازرسان مايکروسافت به‌دنبال پيدا کردن کلاسترهاي متأثرشده از حمله‌ي سايبري اخير، مشغول بررسي اين حقيقت شدند که افراد سودجو چگونه توانسته‌اند به درون کلاسترها نفوذ کنند. داشبوردي که امکان کنترل فريم‌ورک Kubeflow را فراهم مي‌کند براي رعايت جوانب امنيتي به‌صورت پيش‌فرض تنها ازطريق گِيت Istio Ingress قابل‌دسترسي است. طبق بررسي‌ها، اين گيت به‌‌طور معمول در حاشيه‌ي شبکه‌ي کلاستر قرار دارد. تنظيمات پيش‌فرض به‌صورت گسترده باعث مي‌شود کاربران اينترنت در حالت عادي توانايي دسترسي به داشبورد و اعمال تغييرات غيرمجاز در کلاستر را نداشته باشند. يوسي وايزمن، از مهندسان نرم‌افزار مرکز امنيتي آژور در مايکروسافت مي‌گويد که شماري از کاربران تنظيمات پيش‌فرض را تغيير داده‌اند. او مي‌گويد: «ما معتقد هستيم شماري از کاربران براي راحت‌ترکردن روند استفاده از کلاستر، تصميم گرفته‌اند تنظيمات امنيتي پيش‌فرض را تغيير دهند. اگر تغييرات موردبحث اعمال نشده باشند،‌ به‌منظور دسترسي به داشبورد بايد از درون سرور Kubernetes API عبور کنيد، بنابراين امکات دسترسي مستقيم فراهم نمي‌شود؛ اما ازطريق اعمال تغييرات، کاربران مي‌توانند امکان دسترسي مستقيم به داشبورد را فراهم کنند. البته انجام اين کار باعث مي‌شود دسترسي به داشبورد Kubeflow ازلحاظ تئوري به‌شکلي غيرامن انجام بگيرد و هرکسي بتواند در اين پلتفرم به انجام کارهاي مدنظرش بپردازد. کارهايي که از بين آن‌ها مي‌توانيم به پياده‌سازي محفظه‌هايي جديد به‌درون کلاستر اشاره کنيم». زماني‌که افراد سودجو بتوانند به داشبورد دسترسي پيدا کنند، از چند روش مختلف مي‌توانند به پياده‌سازي محفظه‌هاي داراي بک‌دور در کلاستر بپردازند. براي مثال مهاجمان مي‌توانند آنچه را که از آن با نام ژوپيتر نوت‌بوک (Jupyter Notebook) ياد مي‌شود بسازند و آن را در کلاستر به‌اجرا دربياورند. سپس مهاجمان بدافزارهاي مدنظرشان را در داخل ژوپيتر نوت‌بوک قرار مي‌دهند و آن را به کلاستر تزريق مي‌کنند.