Một vụ tấn công cài mã độc đào tiền mã hoá đã xảy ra cách đây 6 tháng, và phương thức mới này thực sự là một mối đe doạ, nạn nhân lần này là Tesla
Các nhà nghiên cứu tại công ty giám sát và bảo vệ đám mây Red Lock đã công bố những phát hiện vào hôm thứ Ba. Theo đó, cơ sở hạ tầng điện toán đám mây của Amazon Web Services của Tesla đang chạy phần mềm độc hại đào tiền mã hoá trong một chiến dịch cryptojacking ẩn. Các nhà nghiên cứu đã thông tin tình trạng nhiễm mã độc cho Tesla vào tháng trước, công ty đã nhanh chóng khắc phục và khóa nền tảng đám mây trong một ngày.
Cuộc điều tra ban đầu của nhà sản xuất cho dữ liệu rò rỉ là khá ít, nhưng sự kiện này lại nhấn mạnh những cách mà cryptojacking có thể gây ra những mối đe dọa an ninh rộng lớn ngoài việc làm tăng hoá đơn tiền điện.
Red Lock phát hiện ra sự xâm nhập trong khi quét mạng Internet công cộng cho các máy chủ bị cấu hình sai và không bảo đảm. Thực tế ngày càng nhiều hệ thống an ninh đang phụ thuộc vào cấu hình cơ sở dữ liệu.
Gaurav Kumar, giám đốc công nghệ của Red Lock, nói: “Chúng tôi nhận được cảnh báo rằng đây là một máy chủ mở và khi nghiên cứu sâu hơn nữa, chúng tôi thấy nó thực sự đang chạy Kubernetes, một mã độc nhằm khai thác tiền mã hoá. Nó gồm giao diện điều khiển quản trị để quản lý ứng dụng đám mây.”
Những kẻ tấn công đã phát hiện ra rằng giao diện điều khiển Kubernetes có cổng quản trị để quản lý ứng dụng đám mây không được bảo vệ bằng mật khẩu và do đó có thể được truy cập tự do.
Từ đó, họ đã tìm thấy một trong những chỗ lưu trữ của bảng điều khiển, bao gồm các thông tin đăng nhập cho một môi trường đám mây rộng hơn, đó là Tesla Amazon Web Services. Điều này cho phép chúng ẩn sâu hơn, triển khai các kế hoạch để thiết lập hoạt động đào tiền mã hoá được xây dựng trên giao thức khai thác Bitcoin Stratum.
Ai là những người bị ảnh hưởng?
RedLock nói rất khó để đo chính xác lượng tiền mà những kẻ tấn công đã khai thác trước khi bị phát hiện. Tuy nhiên, họ lưu ý các mạng doanh nghiệp, đặc biệt là các nền tảng điện toán đám mây công cộng ngày càng là miếng mồi lớn cho những kẻ lừa đảo.
Các nền tảng ấy cung cấp một lượng lớn sức mạnh xử lý trong môi trường mà những kẻ tấn công có thể khai thác mà không bị phát hiện vì CPU và điện năng tiêu tụ tương đối cao. Bằng cách lợi dụng tài khoản doanh nghiệp lớn như Tesla, những kẻ tấn công có thể khai thác không giới hạn mà không gây ra động tĩnh gì.
Theo quan điểm của người dùng, nền tảng điện toán đám mây bị xâm nhập của Tesla cũng có một vùng S3 chứa dữ liệu nhạy cảm như dữ liệu phân quyền, thông tin về phương tiện ánh xạ và các thiết bị đo từ xa khác. Các nhà nghiên cứu nói họ đã không điều tra được những thông tin nào đã bị để hở với những kẻ tấn công.
Một phát ngôn viên của Tesla cho biết trong một tuyên bố về rủi ro này: “Chúng tôi đã giải quyết vấn đề này trong vài giờ nghiên cứu. Tác động dường như chỉ giới hạn ở những xe thử nghiệm được sử dụng trong nội bộ, cuộc điều tra ban đầu của chúng tôi không thấy có dấu hiệu an toàn của khách hàng hay nền tảng bị ảnh hưởng”.
Tuy nhiên, dữ liệu về các ô tô thử nghiệm rất có giá trị khi xuất phát từ công ty như Tesla, một công ty hoạt động trên các sản phẩm tự động điều khiển thế hệ mới.
Các nhà nghiên cứu của RedLock đã đưa ra những phát hiện của họ thông qua chương trình Bounty Bug của Tesla. Công ty của Elon Musk đã trao tặng cho họ hơn 3.000 USD cho phát hiện này.
Ảnh hưởng nghiêm trọng của các vụ tấn công
Sự kiện trên chỉ là một ví dụ trong một danh sách ngày càng tăng của việc tấn công cài mã độc đào tiền. Tuần trước, các nhà nghiên cứu từ công ty bảo mật Check Point nói rằng những kẻ tấn công đã kiếm được hơn 3 triệu USD bằng cách khai thác đồng tiền mã hoá Monero trên các máy chủ của ứng dụng phát triển web Jenkins.
Tuy nhiên, Tesla bị tấn công là điều đặc biệt đáng chú ý, bởi vì nó cho thấy không chỉ sự hung hăng của những kẻ cài mã độc, mà còn cho thấy những cuộc tấn công của chúng ngày càng trở nên tinh vi hơn.
Kumar lưu ý rằng những kẻ tấn công Tesla đã chạy máy chủ khai thác của chính mình, hạn chế tối đa khả năng rơi vào danh sách đen của máy quét phần mềm độc hại. Các phần mềm độc hại khai thác cũng liên lạc với máy chủ của kẻ tấn công trên một cổng IP bất thường, làm cho nó ít có khả năng bị máy quét cổng phát hiện.
Các kỹ thuật obfuscation đã không dừng lại ở đó. Các cuộc tấn công xảy ra ngay trên mã hóa SSL web để ẩn nội dung khỏi các công cụ giám sát an ninh và máy chủ khai thác cũng sử dụng một máy chủ proxy làm trung gian để che dấu, làm cho nó không thể theo dõi được.
RedLock cho biết những kẻ tấn công đã nhận được các dịch vụ ủy nhiệm miễn phí và chứng chỉ SSL từ công ty cơ sở hạ tầng internet Cloudflare, công ty này cung cấp các dịch vụ miễn phí để làm cho các công cụ bảo mật và quyền riêng tư của web có thể truy cập được tới bất cứ ai, vì thế có thể bị lạm dụng bởi kẻ xấu.
Những kẻ tấn công phải đầu tư thời gian và công sức để che giấu hoạt động của chúng, nghĩa là các nỗ lực phòng thủ trực tuyến đang hoạt động. Đồng thời cũng khiến cho các vụ tấn công ngày càng tiên tiến hơn.
Phó chủ tịch của RedLock, Upa Campbell nói: “Điều quan trọng cần lưu ý ở đây là đám mây công cộng đang nhanh chóng trở thành một mục tiêu vì nó là một mục tiêu dễ dàng. Lợi ích của đám mây là tốc độ, nhưng nguy cơ lỗi do người dùng càng cao hơn. Các tổ chức đang thực sự gặp khó khăn.”
Theo WIRED