Компания Илона Маска Tesla Inc. стала невольной жертвой криптохакеров. Дело в том, что неизвестные злоумышленники смогли получить доступ к аккаунту компании на облачном сервисе Amazon Web Services и стали майнить там криптовалюту. Обнаружили факт взлома не сотрудники Tesla, а стартап, занимающийся вопросами информационной безопасности, который называется RedLock Cloud Security Intelligence.
Сама компания занималась изучением проблемы с безопасностью административных консолей Kubernetes. Как выяснилось, доступ можно было получить извне, причем защита паролем не слишком хорошо помогала. Сами системы администрирования разработаны для системных администраторов, помогая им работать с виртуальными машинами.
Взломаны были учетки не только Tesla, но и ряда других компаний. Среди них — британская страховая компания, крупнейший производитель SIM-карт в мире и некоторые другие. Получив доступ к консоли, у злоумышленника оказывались данные для доступа в учетные записи AWS указанных компаний, а в некоторых случаях — и Microsoft Azure. Во время дальнейшего расследования оказалось, что взломщики использовали возможности учетных записей компаний для того, чтобы майнить криптовалюту.
В ходе расследования также выяснилось, что взломщики добрались и до аккаунта Tesla. Атака была проведена примерно так же, как и в случае упомянутых выше двух компаний, но были и отличия.
«Пара инстансов, которые мы изучили, принадлежали Aviva, британской мультинациональной страховой компании и Gemalto, крупнейшему производителю SIM-карт. Получив доступ к консоли, в руках у злоумышленников оказалась также информация по доступу к AWS и Mcirosoft Azure сервисам», — рассказали в компании, которая проводила расследования.
«Хакеры осуществили атаку на консоль Kubernetes компании Tesla, которая, кстати, не защищена паролем. И внутри злоумышленники нашли все данные доступа для Amazon S3 (Amazon Simple Storage Service). Внутри было большое количество частных данных компании, включая телеметрию», — заявили в RedLock.
Злоумышленники были достаточно осторожны. Для того, чтобы никто не заметил их деятельность, криптохакеры не использовали известные пулы майнинга. Вместо этого были установлены специализированные приложения, разработанные ими самими, которые подключались к частично публичной точке. Также они прятали IP, используя известный всем CDN-сервис CloudFlare.
После того, как представители Tesla узнали о проблеме, майнинг был ликвидирован. Компания, для того, чтобы обезопасить себя еще больше, объявила награду специалистам по информационной безопасности, которые помогли бы обнаружить и другие уязвимости.
Что касается скомпрометированных данных, то они имели отношение лишь к используемым самой компанией электромобилям, а не к транспортным средствам, которые принадлежали клиентам.
По информации RedLock, около 58% корпораций используют те либо иные облачные сервисы. И 8% из всего указанного количества стали жертвами криптохакеров. Насколько можно понять, эта угроза становится все более актуальной, поэтому внимания ей необходимо уделять больше.
Вообще говоря, криптохакеров становится все больше. На прошлой неделе взломщикам удалось внедрить скрипт майнера в тысячи сайтов, включая правительственные ресурсы Великобритании и США. Проблема заключалась в уязвимом плагине чтения текста с экрана, который использовали многие сайты. После взлома плагина злоумышленники загрузили в него код майнера криптовалюты Monero. Сам майнер известен неплохо — это Coinhive, который популярен среди «криптовзломщиков». Общее количество сайтов, тем либо иным образом затронутым взломом составило 4200 адресов.
Майнер устанавливают не только злоумышленники, но и сами владельцы сайтов. Особенно любят делать это администраторы торрент-трекера ThePirateBay. Впервые они опробовали метод добычи криптовалюты при помощи пользователей в прошлом году. После того, как посетители возмутились, майнер был убран из кода, но затем появился вновь. По словам администрации ресурса, она таким образом пытается создать дополнительный источник дохода для поддержания ресурса.
Комментарии (3)
Alexsey
21.02.2018 20:20+1Дожили, компании ломают не для того чтобы утянуть данные, а для того чтобы помайнить криптовалюту за их счет.
willyd
22.02.2018 00:00Украсть деньги — сразу тяжкое преступление. В штатах — федеральное, у нас тоже много чего могут пришить включая мошенничество и взломщик пойдет сразу по нескольким статьям. А в майнинге, кроме взлома обвинить ни в чем нельзя. Да и раньше ломали ощутимо много серверов, но если на них не было интересных данных, то они никому нужны не были, а сейчас их спокойно можно использовать себе в профит.
Да и вообще, вообще смешно как-то… safenet.gemalto.com/partners/aws
Это еще, если там не было критичных данных по SIM-картам.
pavelchavyr
И такой элегантный плевок в сторону TPB.
Я не их фанат, однако мне кажется, что ставить в один ряд взлом серверов и добавление майнера владельцами ресурса не совсем правильно.