por Daniel Nelson*
O cryptojacking estampou as manchetes dos jornais nas últimas semanas, após a revelação de que a Tesla teve sua infraestrutura de Cloud na AWS (Amazon Web Services) invadida por hackers para minerarem criptomoedas ilegalmente. Há um ano, a modalidade não era sequer reconhecida como ataque cibernético, o que revela a rapidez com a qual se desenvolveu.
Pesquisadores recentemente descobriram que a infraestrutura de cloud da Tesla na AWS tinha sido infiltrada por malware. Em função disso, e, para assegurar que sua imagem de empresa desenvolvedora de carros elétricos de ponta permaneça sem danos, a resposta da Tesla para remoção do malware e bloqueio de sua nuvem na AWS foi rápida e eficaz.
Apesar das consequências do ataque terem sido minimizadas, não se deve ignorar o fato perturbador de que o cryptojacking representa uma ameaça cada vez mais perigosa e ampla à segurança dos negócios, sua infraestrutura e aos serviços públicos.
Além disto, esta invasão revela como os cibercriminosos têm se aprimorado e utilizado técnicas mais sofisticadas para atingir as grandes empresas, seja para obter lucro ou para causar interrupções. No caso da Tesla, por exemplo, os hackers não apenas atacaram a nuvem pública para roubar dados confidenciais, mas sequestraram sistemas de Cloud para minerar criptomoedas, como o Bitcoin.
Como mencionei anteriormente, a infraestrutura de cloud da Tesla estava comprometida em função da configuração insegura de clusters de Kubernetes em sua conta na AWS. Isso demonstra que essa ameaça não irá embora tão cedo, uma vez que grandes multinacionais do setor de seguros e segurança digital, como Aviva e Gemalto, também foram afetadas.
Como as empresas podem se proteger? – O cryptojacking tem se tornado uma nova e emergente ameaça, e é imprescindível considerar a sua natureza e seu impacto mais amplo, especificamente nos clusters de contêineres de Kubernetes.
Primeiramente, deve-se questionar: por que o Kubernetes é a plataforma escolhida para o cryptojacking? A tecnologia de contêineres tem sido eficaz na melhoria da produtividade dos desenvolvedores, por isso a crescente popularidade.
No entanto, apesar de inúmeros benefícios para a eficácia do workflow, para muitas empresas falta conhecimento e governança no uso da tecnologia. E, por isso podem ocorrer lacunas em termos de segurança.
Em segundo lugar, o footprint do Kubernetes em AWS é difundido, 63% dos stacks de Kubernetes são executados na AWS. A prevalência de clusters de Kubernetes, combinada com sua complexidade de gerenciamento e configurações inseguras, é o que potencialmente tem deixado a porta aberta para os invasores, viabilizando os ataques para mineração de criptomoedas.
Além de elevar o valor dos gastos na nuvem pública, esses gaps podem levar a um ataque em vários estágios, uma vez que a violação de Kubernetes também pode comprometer senhas, dados e máquinas, além do cluster. Esta é uma grande preocupação para as empresas que abastecem milhares de contêineres toda semana.
Três dicas para proteger clusters de Kubernetes
Há três dicas importantes para que as empresas protejam seus clusters de Kubernetes, e evitem ameaças de cryptojacking: identificação de ponto cego, avaliação completa de segurança e monitoramento, automação e correção contínuos. Abaixo, detalhes adicionais de cada dica:
1. Identificação de ponto cego: Detectar todos os clusters de Kubernetes em execução na AWS é o primeiro desafio. Para protege-los, você precisa descobrir onde eles estão e, para isso, utilizará inúmeras ferramentas de descoberta.
2. Fortaleça todos os contêineres: Depois que os clusters de Kubernetes são descobertos, é necessário garantir que eles e seus workloads estejam adequadamente protegidos.
Existem várias camadas em uma pilha de contêineres e cada uma delas precisa ser protegida. Um desafio adicional de segurança é o fato de que muitos instaladores padrão de Kubernetes são developer-friendly, com configurações vulneráveis.
3. Automatize suas verificações de Kubernetes: Por fim, é essencial que as empresas usem uma solução que automatize seu processo de segurança, como o SecOps Policy Service, para monitorar, avaliar e corrigir continuamente os ataques a contêineres.
Rápido crescimento na adoção de tecnologia de contêineres
O ataque à Tesla é apenas o mais recente de alta notoriedade, o qual reforça a fundamental e crescente importância das verificações básicas de segurança na nuvem da AWS para as empresas.
Como a adoção da tecnologia de contêineres na AWS está aumentando rapidamente, os cibercriminosos continuarão tentando encontrar e atacar as vulnerabilidades que surgem devido à complexidade em gerenciar stacks de contêineres em constante mudança.
Se empresas como Tesla e Aviva tivessem seguido os passos descritos acima, poderiam ter evitado esses ataques. As consequências dos ataques realizados pelos hackers ainda não parecem significativas em termos de danos ou interrupções nos serviços ou na infraestrutura, nem mesmo permitiu que pudessem extrair grandes quantidades de criptomoedas.
No entanto, essas violações do tipo cryptojacking devem servir como alerta para qualquer empresa. E, ignorar as dicas de segurança acima pode ser um perigo.
*Daniel Nelson, vice-presidente assistente de gestão de produto na BMC Software
