حملات سایبری به ابزارهای محبوب DevOps برای استخراج غیرقانونی رمزارز

کارشناسان امنیت سایبری اخیراً موج جدیدی از حملات را شناسایی کرده‌اند که در آن مهاجمان به سوءاستفاده از پیکربندی‌های نادرست ابزارهای عمومی و پراستفاده DevOps می‌پردازند تا عملیات مخفی استخراج رمزارز را راه‌اندازی کنند. این استخراج‌کنندگان غیرمجاز به‌طور پنهانی توکن‌های ارزشمند رمزارز تولید می‌کنند که هزینه‌های قابل توجهی برای برق و زیرساخت‌ها به قربانیان تحمیل می‌کند. گروه هوش تهدید Wiz Threat Research موفق شد این کمپین حملاتی را شناسایی و به گروهی با نام JINX-0132 نسبت دهد. بررسی‌های انجام شده نشان داد در حالی که ابزارهای مختلفی هدف قرار گرفته‌اند، چهار ابزار Nomad، Consul، Docker Engine API و Gitea بیش از سایرین آسیب‌پذیر بوده‌اند.

ابزارهای در معرض خطر Nomad و Consul به عنوان محصولات شرکت HashiCorp از اهمیت ویژه‌ای برخوردارند. Nomad یک ارکستریتور قدرتمند برای مدیریت بارکاری شامل کانتینرها، ماشین‌های مجازی و اپلیکیشن‌های مستقل در کلاسترهای زیرساختی است. Consul نیز راهکارهای شبکه‌سازی سرویس را ارائه می‌دهد که شامل کشف سرویس و مدیریت پیکربندی برای برنامه‌های توزیع‌شده می‌شود. API موتور Docker امکان تعامل توسعه‌دهندگان و ابزارهای خودکارسازی را از طریق یک رابط RESTful با Docker فراهم می‌کند تا مدیریت کانتینرها، ایمیج‌ها و سایر منابع به راحتی انجام شود. Gitea نیز یک پلتفرم گیت خود-میزبان برای توسعه نرم‌افزار مشارکتی است که قابلیت‌هایی مانند میزبانی کد منبع و بازبینی کد را ارائه می‌دهد.

روش‌های پیشرفته حمله JINX-0132 آنچه رویکرد JINX-0132 را متمایز می‌سازد، نحوه عبور آنها از شناسایی‌های رایج است. این حمله‌کنندگان به جای به‌کارگیری شیوه‌هایی که آثار تخریبی آشکار برجا می‌گذارند، ابزارهای مخرب خود را مستقیماً از مخازن عمومی GitHub دانلود می‌کنند. این روش باعث می‌شود سامانه‌های امنیتی و مدافعان حتی هنگام تمرکز کمتر روی این برنامه‌ها، به‌سرعت متوجه تهدید نشوند. این تهدید امنیتی از نظر مقیاس، قابل توجه است. آمار منتشر شده نشان می‌دهد که حداقل ۲۵٪ از تمام محیط‌های ابری، حداقل یکی از این چهار ابزار آسیب‌پذیر DevOps را استفاده می‌کنند. همچنین HashiCorp Consul در حداقل ۲۰٪ محیط‌ها بکار می‌رود. قابل توجه اینکه ۵٪ این استقرارها به اینترنت قابل دسترسی هستند و ۳۰٪ از این موارد دچار پیکربندی‌های خطرناک هستند.

چگونه از حملات استخراج رمزارز دفاع کنیم باتوجه به خطرات مطرح شده، کارشناسان امنیتی توصیه می‌کنند سازمان‌ها از راهبردی چندلایه برای ارتقای امنیت استفاده کنند. اجرای کنترل‌های دسترسی قوی، انجام مستمر ممیزی‌های امنیتی و سنجش آسیب‌پذیری‌ها از الزامات است. اعمال سریع وصله‌های امنیتی و پایش مداوم مصرف منابع سیستم برای شناسایی رفتارهای غیرعادی نیز ضروری است. ایمن‌سازی محیط‌های DevOps در برابر سوء پیکربندی اهمیت بالایی دارد. شرکت‌ها باید با تقویت احراز هویت و جلوگیری از اجرای فرمان‌های غیرمجاز، جلوی حملات استخراج رمزارز را بگیرند. با رفع پیشگیرانه این آسیب‌پذیری‌ها، سازمان‌ها می‌توانند زیرساخت‌ها و دارایی‌های دیجیتال خود را در برابر تهدیدهای روزافزون سایبری بهتر محافظت کنند.