سوءاستفاده هکرها از مایکروسافت آژور برای استخراج رمزارز
مایکروسافت چهارشنبهی گذشته از ربودهشدن شماری از کلاسترهای داخل سرویس رایانش ابری آژور (Microsoft Azure) خبر داد. براساس این گزارش اخیرا افراد سودجو اقدامبه ربودن کلاسترهای قدرتمند مبتنیبر یادگیری ماشین سرویس آژور کردهاند تا ازطریق آنها بتوانند بدون پرداخت هزینه و بهلطف هزینهی پرداختشده توسط مشتریان مایکروسافت، به استخراج (ماینینگ) رمزارز مشغول شوند. کلاسترهایی که بهاشتباه توسط مشتریان پیکربندی شده بودند بههدفی بسیار عالی برای افراد سودجو و اقدامی با عنوان «طرحهای ربایش رمزارز» تبدیل شدند.
وظایف مبتنیبر فناوری یادگیری ماشین بهطور معمول نیازمند مقادیر عظیم و متنوعی از منابع رایانشی هستند. افراد سودجو با انجام کارهایی خاص میتوانند اهداف کاری سیستم را تغییر دهند و از منابع رایانشی عظیمی که دردسترس قرار دارد بهمنظور استخراج سکههای دیجیتالی استفاده کنند. بدین ترتیب افراد سودجو با حمله به کلاسترهای مایکروسافت آژور بهمنابع عظیمی دست مییابند و میتوانند با هزینهی بسیار کم یا در بسیاری از مواقع بدون هیچگونه هزینهی اضافی به استخراج رمزارز بپردازند.
کلاسترهای متأثرشده از حملهی سایبری اخیر ظاهرا مبتنیبر پلتفرم Kubeflow بودهاند. Kubeflow را میتوان فریمورکی متنباز برای کارهای حوزهی یادگیری ماشین بهحساب آورد که خود بخشی از سیستم Kubernetes بهحساب میآید. Kubernetes نیز بهصورت مستقل فریمورکی متنباز است که ازطریق آن میتوان وظایف مقیاسپذیر متنوعی را در شمار زیادی از رایانهها، پیادهسازی کرد.
مایکروسافت در بیانیهی جدید خود میگوید شمار کلاسترهای ربودهشده به دهها مورد میرسد. بسیاری از این کلاسترها درحال اجرای فایلی بودهاند که در مخزن مجازی عمومی خاصی قرار داشته است. این مخزن باعث میشود هر یک از کاربران مجبور نباشد فایل موردبحث را بهصورت مستقل بسازد و بههمین ترتیب در زمان او صرفهجویی میشود. بازرسان مایکروسافت پس از بررسیهای بیشتر متوجه شدند مخزن مجازی موردبحث درخود کدی داشته که بهشکل محرمانه درحال استخراج رمزارز مونرو (Monero) بوده است.
ممکن است برایتان سؤال پیش بیاید که انجام چنین کاری چگونه ممکن است؟ بازرسان مایکروسافت بهدنبال پیدا کردن کلاسترهای متأثرشده از حملهی سایبری اخیر، مشغول بررسی این حقیقت شدند که افراد سودجو چگونه توانستهاند به درون کلاسترها نفوذ کنند. داشبوردی که امکان کنترل فریمورک Kubeflow را فراهم میکند برای رعایت جوانب امنیتی بهصورت پیشفرض تنها ازطریق گِیت Istio Ingress قابلدسترسی است. طبق بررسیها، این گیت بهطور معمول در حاشیهی شبکهی کلاستر قرار دارد. تنظیمات پیشفرض بهصورت گسترده باعث میشود کاربران اینترنت در حالت عادی توانایی دسترسی به داشبورد و اعمال تغییرات غیرمجاز در کلاستر را نداشته باشند.
یوسی وایزمن، از مهندسان نرمافزار مرکز امنیتی آژور در مایکروسافت میگوید که شماری از کاربران تنظیمات پیشفرض را تغییر دادهاند. او میگوید: «ما معتقد هستیم شماری از کاربران برای راحتترکردن روند استفاده از کلاستر، تصمیم گرفتهاند تنظیمات امنیتی پیشفرض را تغییر دهند. اگر تغییرات موردبحث اعمال نشده باشند، بهمنظور دسترسی به داشبورد باید از درون سرور Kubernetes API عبور کنید، بنابراین امکات دسترسی مستقیم فراهم نمیشود؛ اما ازطریق اعمال تغییرات، کاربران میتوانند امکان دسترسی مستقیم به داشبورد را فراهم کنند. البته انجام این کار باعث میشود دسترسی به داشبورد Kubeflow ازلحاظ تئوری بهشکلی غیرامن انجام بگیرد و هرکسی بتواند در این پلتفرم به انجام کارهای مدنظرش بپردازد. کارهایی که از بین آنها میتوانیم به پیادهسازی محفظههایی جدید بهدرون کلاستر اشاره کنیم».
زمانیکه افراد سودجو بتوانند به داشبورد دسترسی پیدا کنند، از چند روش مختلف میتوانند به پیادهسازی محفظههای دارای بکدور در کلاستر بپردازند. برای مثال مهاجمان میتوانند آنچه را که از آن با نام ژوپیتر نوتبوک (Jupyter Notebook) یاد میشود بسازند و آن را در کلاستر بهاجرا دربیاورند. سپس مهاجمان بدافزارهای مدنظرشان را در داخل ژوپیتر نوتبوک قرار میدهند و آن را به کلاستر تزریق میکنند.