2 Minuten
Cyberkriminelle nutzen DevOps-Tools für Krypto-Mining aus
Cybersecurity-Experten haben eine neue Angriffswelle aufgedeckt, bei der Angreifer Fehlkonfigurationen in weit verbreiteten öffentlichen DevOps-Tools ausnutzen, um heimlich Kryptowährungs-Mining durchzuführen. Diese unerlaubten Miner erzeugen verdeckt wertvolle Kryptotoken und verursachen dadurch erhebliche Strom- und Infrastrukturkosten für die ahnungslosen Opfer.
Das Threat-Intelligence-Team von Wiz Threat Research identifizierte die Angreifergruppe JINX-0132 als Urheber dieser Kampagne. Ihre Untersuchungen zeigten, dass zwar verschiedene Tools im Visier stehen, jedoch vier besonders oft angegriffen werden: Nomad, Consul, Docker Engine API und Gitea.
Risikoanalyse: Die betroffenen DevOps-Tools
Nomad und Consul, beide von HashiCorp entwickelt, sind hierbei besonders im Fokus. Nomad dient als skalierbarer Orchestrator für Workloads und ermöglicht das Management von Containern, virtuellen Maschinen und Standalone-Anwendungen über verschiedene Infrastruktur-Cluster hinweg. Consul bietet Lösungen für Servicenetzwerke, einschließlich Service-Discovery und Konfigurationsmanagement für verteilte Anwendungen.
Die Docker Engine API stellt Entwicklern und Automatisierungstools eine RESTful-Schnittstelle für das Management von Containern und Images zur Verfügung. Gitea wiederum ist eine selbstgehostete Git-Plattform für die kollaborative Softwareentwicklung, mit Funktionen wie Quellcode-Verwaltung und Code-Review.
Blick auf die Angriffsmethoden von JINX-0132
Bemerkenswert an den Angriffsmethoden von JINX-0132 ist die ausgefeilte Tarnung: Anstatt klassische Methoden zu verwenden, die übliche Kompromissindikatoren hinterlassen, laden die Angreifer ihre schädlichen Werkzeuge direkt aus öffentlichen GitHub-Repositories herunter. Dadurch werden sofortige Alarmierungen durch gängige Sicherheitssysteme und Verteidigungsmaßnahmen oft umgangen, da die angegriffenen Anwendungen für viele nicht als typische Einstiegspunkte gelten.
Das Ausmaß der Bedrohung ist erheblich: Laut Report setzen etwa 25% aller Cloud-Umgebungen mindestens eines dieser vier anfälligen DevOps-Tools ein. Speziell HashiCorp Consul ist in mindestens 20% der Umgebungen zu finden. Hervorzuheben ist zudem, dass 5% dieser Deployments direkt mit dem Internet verbunden sind und bei 30% dieser Fälle gravierende Fehlkonfigurationen bestehen.
Schutzmaßnahmen gegen Krypto-Mining-Angriffe
Angesichts dieser Risiken raten Experten zu einem mehrschichtigen Sicherheitsansatz. Unternehmen sollten konsequent Zugriffsrechte einschränken, regelmäßige Sicherheitsüberprüfungen durchführen und kontinuierlich Schwachstellen-Analysen vornehmen. Das zeitnahe Einspielen von Patches ist ebenso wichtig wie das fortlaufende Monitoring der Systemressourcen, um ungewöhnliche Aktivitäten frühzeitig zu erkennen.
Um Angriffe durch Krypto-Mining auf DevOps-Umgebungen zu verhindern, ist die Absicherung gegen Fehlkonfigurationen zentral. Organisationen sollten die Ausführung unautorisierter Befehle unterbinden und Authentifizierungsprozesse konsequent absichern. Durch eine proaktive Schließung von Sicherheitslücken lässt sich die eigene Infrastruktur und digitale Assets besser vor Angriffen in einer zunehmend bedrohlichen Cyberlandschaft schützen.
Kommentare