حملات سایبری به ابزارهای محبوب DevOps با هدف استخراج غیرمجاز رمزارز

کارشناسان امنیت سایبری اخیراً موج جدیدی از حملات سایبری را شناسایی کرده‌اند که در آن مهاجمان با سوءاستفاده از پیکربندی‌های نادرست در ابزارهای DevOps پرکاربرد، اقدام به راه‌اندازی عملیات استخراج رمزارز (کریپتوماینینگ) می‌کنند. این مهاجمان بدون اطلاع قربانیان، توکن‌های ارز دیجیتال باارزشی تولید کرده و هزینه‌های قابل توجهی از لحاظ مصرف برق و زیرساخت تحمیل می‌کنند.

تیم اطلاعات تهدید در Wiz Threat Research این کمپین را به گروهی به نام JINX-0132 نسبت داده است. بررسی‌های این تیم نشان داد که اگرچه ابزارهای متعددی هدف قرار گرفته‌اند، اما چهار ابزار Nomad، Consul، Docker Engine API و Gitea بیشترین تعرض را داشته‌اند.

ابزارهای مورد تهدید بیشتر Nomad و Consul هستند که هر دو توسط HashiCorp توسعه یافته‌اند. Nomad به عنوان یک ارکستریتور توانمند برای مدیریت بارکاری شامل کانتینرها، ماشین‌های مجازی و اپلیکیشن‌های مستقل در خوشه‌های زیرساختی فعالیت می‌کند. Consul نیز راهکارهای شبکه‌سازی خدمات از جمله کشف سرویس و مدیریت پیکربندی برای برنامه‌های توزیع‌شده را ارائه می‌دهد.

Docker Engine API به توسعه‌دهندگان و ابزارهای خودکارسازی امکان تعامل RESTful جهت مدیریت کانتینرها، تصاویر و موارد دیگر را می‌دهد. Gitea نیز یک پلتفرم Git خودمیزبان است که توسعه نرم‌افزار گروهی را با قابلیت‌هایی مانند میزبانی کد منبع و بازبینی کد تسهیل می‌کند.

آنچه تاکتیک‌های JINX-0132 را متمایز می‌کند، روش‌های پنهان‌کاری آن‌هاست. این مهاجمان به جای بهره‌گیری از شیوه‌های متداول که منجر به شناسایی آن‌ها می‌شود، ابزارهای مخرب‌شان را مستقیماً از مخازن عمومی GitHub دانلود می‌کنند. این روش باعث می‌شود زنگ هشدار به سرعت به‌صدا درنیاید و به‌ویژه وقتی این برنامه‌ها نقاط ورود سنتی محسوب نمی‌شوند، از دید مدافعان و سیستم‌های امنیتی پنهان بمانند.

بر اساس داده‌های ارائه‌شده، مقیاس این تهدید امنیتی نگران‌کننده است. تا ۲۵ درصد از محیط‌های ابری حداقل یکی از این چهار ابزار آسیب‌پذیر DevOps را به کار گرفته‌اند. علاوه بر این، ابزار HashiCorp Consul در دست‌کم ۲۰ درصد محیط‌ها یافت می‌شود. شایان توجه است که ۵ درصد از این استقرارها به اینترنت قابل دسترسی هستند که ۳۰ درصد آن‌ها پیکربندی‌های خطرناک دارند.

روش‌های مقابله با استخراج رمزارز غیرمجاز نیازمند رویکرد امنیتی چندلایه است. کارشناسان توصیه می‌کنند سازمان‌ها کنترل دسترسی قوی اعمال، آزمون‌های امنیتی دوره‌ای برگزار و ارزیابی نقاط آسیب‌پذیر را به طور مستمر انجام دهند. به‌روزرسانی به موقع وصله‌های امنیتی و نظارت دائم بر مصرف منابع سیستمی جهت شناسایی فعالیت‌های غیرطبیعی حیاتی است.

ایمن‌سازی محیط‌های DevOps در برابر پیکربندی نادرست بسیار مهم است. شرکت‌ها باید اجرای دستورات غیرمجاز را مسدود و پروتکل‌های احراز هویت را تقویت کنند تا جلوی حملات استخراج رمزارز را بگیرند. با رفع پیشگیرانه این آسیب‌پذیری‌ها، کسب‌وکارها می‌توانند زیرساخت و دارایی‌های دیجیتال خود را در برابر تهدیدات رو به گسترش فضای سایبری بهتر محافظت کنند.