Buzz
Cryptojacking chỉ thực sự hình thành như một lớp tấn công khoảng sáu tháng trước, nhưng phương pháp này đã phát triển và trở nên phổ biến thành một mối đe doạ rộng rãi. Các cuộc tấn công sử dụng sức mạnh tính toán cho việc đào tiền ảo bất hợp pháp hiện tại đã nhắm vào một loạt các nạn nhân đa dạng, từ người tiêu dùng cá nhân đến các tổ chức lớn—kể cả các hệ thống kiểm soát công nghiệp. Nhưng nạn nhân mới nhất không phải là một người sử dụng internet vô danh hoặc một quán cà phê Starbucks ở Buenos Aires. Đó là Tesla.
Nhóm nghiên cứu tại công ty giám sát và phòng thủ đám mây RedLock đã công bố các kết quả vào thứ Ba cho thấy một số cơ sở hạ tầng đám mây Amazon Web Services của Tesla đang chạy phần mềm đào tiền ảo trong một chiến dịch cryptojacking có phạm vi rộng và được giấu kín. Nhóm nghiên cứu tiết lộ sự nhiễm bệnh cho Tesla tháng trước, và công ty nhanh chóng tiến hành làm sạch và khóa chặt nền tảng đám mây của mình trong vòng một ngày. Cuộc điều tra ban đầu của hãng ô tô cho thấy rủi ro tiếp xúc dữ liệu là tối thiểu, nhưng sự cố này làm nổi bật cách mà cryptojacking có thể tạo ra một mối đe doạ an ninh rộng lớn—ngoài việc tăng lên một hóa đơn điện lớn.
Cuộc Hack
RedLock phát hiện xâm nhập trong quá trình quét internet công cộng để tìm kiếm các máy chủ đám mây bị cấu hình sai và không bảo mật, một thực hành mà ngày càng nhiều người phòng vệ phụ thuộc vào khi lỗ hổng từ cấu hình sai của cơ sở dữ liệu bùng nổ.
"Chúng tôi đã nhận được cảnh báo rằng đây là một máy chủ mở và khi chúng tôi điều tra thêm, đó là lúc chúng tôi nhận thấy nó đang chạy một Kubernetes, đang thực hiện việc đào tiền ảo," nói Gaurav Kumar, giám đốc công nghệ của RedLock, ám chỉ đến bảng điều khiển quản trị nguồn mở phổ biến cho quản lý ứng dụng đám mây. "Và sau đó chúng tôi phát hiện ra rằng, ờ, nó thực sự thuộc sở hữu của Tesla." Bạn biết đấy, thoải mái.
Các kẻ tấn công có vẻ đã phát hiện ra rằng bảng điều khiển Kubernetes cụ thể này—một cổng quản trị cho quản lý ứng dụng đám mây—không được bảo vệ bằng mật khẩu và do đó có thể được truy cập bởi bất kỳ ai. Từ đó, họ đã phát hiện ra, như các nhà nghiên cứu của RedLock đã làm, rằng một trong "pods" của bảng điều khiển, hoặc các container lưu trữ, chứa thông tin đăng nhập cho một môi trường đám mây Amazon Web Services rộng lớn của Tesla. Điều này cho phép họ đào sâu hơn, triển khai các đoạn mã để thành lập hoạt động đào tiền ảo của họ, được xây dựng trên giao thức đào tiền bitcoin Stratum phổ biến.
Ai Bị Ảnh Hưởng?
RedLock cho biết khó đo lường chính xác được bao nhiêu tiền ảo mà các kẻ tấn công đã đào được trước khi bị phát hiện. Nhưng họ lưu ý rằng mạng doanh nghiệp, đặc biệt là các nền tảng đám mây công cộng, ngày càng trở thành mục tiêu phổ biến của người đào tiền ảo, vì chúng cung cấp một lượng lớn công suất xử lý trong một môi trường mà kẻ tấn công có thể đào tiền mà không bị phát hiện, vì việc sử dụng CPU và điện đã được dự kiến là tương đối cao. Bằng cách sử dụng một tài khoản doanh nghiệp lớn như của Tesla, những kẻ tấn công có thể đã đào mãi mãi mà không gây ra ảnh hưởng đáng kể.
Từ góc độ người tiêu dùng, nền tảng đám mây của Tesla bị tấn công cũng chứa một S3 bucket có vẻ chứa dữ liệu độc quyền nhạy cảm, như thông tin về phương tiện và bản đồ và các dữ liệu telemetông cụ khác. Các nhà nghiên cứu nói rằng họ không điều tra thông tin nào có thể đã bị tiết lộ cho những kẻ tấn công, như là một phần của cam kết với hacker đạo đức của họ.
Một phát ngôn viên của Tesla nói trong một tuyên bố rằng rủi ro là tối thiểu: “Chúng tôi đã giải quyết được lỗ hổng này trong vài giờ sau khi biết về nó. Ảnh hưởng dường như chỉ giới hạn cho các chiếc ô tô thử nghiệm kỹ thuật được sử dụng nội bộ, và cuộc điều tra ban đầu của chúng tôi không thấy có bất kỳ dấu hiệu nào cho thấy quyền riêng tư của khách hàng hoặc an toàn hoặc bảo mật của phương tiện bị đe dọa bằng bất kỳ cách nào.”
Tuy nhiên, dữ liệu chỉ về các ô tô thử nghiệm có thể rất có giá trị từ một công ty như Tesla, đang làm việc trên các sản phẩm thế hệ tiếp theo như tự động hóa lái xe.
Các nhà nghiên cứu của RedLock đã nộp các kết quả của họ qua chương trình thưởng lỗi của Tesla. Công ty của Elon Musk đã tặng họ hơn 3,000 đô la cho phát hiện này, mà RedLock đã quyên góp cho từ thiện.
Tình trạng Này Có Nghiêm Trọng Không?
Sự cố này chỉ là một ví dụ trong danh sách ngày càng tăng của các vụ tấn công cryptojacking nổi tiếng. Chỉ trong tuần trước, các nhà nghiên cứu từ công ty an ninh Check Point cho biết những kẻ tấn công đã kiếm hơn 3 triệu đô la bằng cách đào tiền Monero trên các máy chủ của ứng dụng phát triển web phổ biến Jenkins. Tuy nhiên, nhiễm bệnh của Tesla đáng chú ý đặc biệt, vì nó không chỉ thể hiện sự táo bạo của những kẻ đào tiền ảo, mà còn cho thấy cách mà cuộc tấn công của họ trở nên tinh tế và tinh vi hơn.
Gaurav Kumar từ RedLock lưu ý rằng những kẻ tấn công của Tesla đang chạy máy chủ đào tiền của riêng họ, làm giảm khả năng nó sẽ nằm trong danh sách đen của các chương trình quét malware. Phần mềm đào tiền cũng giao tiếp với máy chủ của kẻ tấn công qua một cổng IP không thông thường, làm giảm khả năng một chương trình quét cổng sẽ phát hiện nó là độc hại. Và các kỹ thuật làm mờ còn không dừng lại ở đó. Tất cả các cuộc giao tiếp tấn công đều diễn ra qua mã hóa SSL để che giấu nội dung của chúng khỏi các công cụ giám sát an ninh, và máy chủ đào tiền cũng sử dụng một máy chủ proxy làm trung gian để che giấu nó và làm cho nó ít dễ truy tìm hơn.
RedLock cho biết những kẻ tấn công đã có được dịch vụ proxy miễn phí và chứng chỉ SSL từ công ty cơ sở hạ tầng internet Cloudflare, mà cung cấp những dịch vụ miễn phí này để làm cho các công cụ an ninh và quyền riêng tư trực tuyến trở nên dễ tiếp cận với bất kỳ ai, nhưng phải đối mặt với cách chúng có thể bị lạm dụng bởi những người có ý đồ xấu.
Thông tin tích cực về những kẻ tấn công dành thời gian và năng lượng để che giấu hoạt động của họ là việc các nỗ lực phòng ngự đầu tiên đang hoạt động. Tuy nhiên, điều này cũng có nghĩa là lợi nhuận từ việc thực hiện các cuộc tấn công là đủ để triển khai những chiến thuật tiên tiến đó. Trong vòng vài tháng, cryptojacking đã chính thức đạt đến giai đoạn này. "Điều quan trọng cần lưu ý ở đây là thực tế rằng đám mây công cộng đang trở thành mục tiêu nhanh chóng, đặc biệt vì đó là một mục tiêu dễ tiếp cận," nói bà Upa Campbell, Phó chủ tịch RedLock. "Lợi ích của đám mây là sự linh hoạt, nhưng bên cạnh đó là khả năng lỗi của người dùng cao. Tổ chức đang gặp khó khăn thực sự."
Nhảy Của Cryptojacks
- Chúng ta đã đi một quãng đường dài kể từ những ngày đầu của cryptojacking, từ thời kỳ huy hoàng của năm 2017
- Dù sự cố của Tesla có vẻ khó chịu, nhưng các cuộc tấn công cryptojacking vào cơ sở hạ tầng quan trọng gây ra nhiều lo ngại hơn
- Có lẽ Tesla đã đủ đau đầu với việc tăng cường sản xuất Model 3 của mình
