Una campaña de ataque a gran escala descubierta en la naturaleza ha estado explotando el control de acceso basado en roles (RBAC) de Kubernetes (K8), con el fin de crear puertas traseras y ejecutar mineros de criptomonedas.
La compañía israelí que denominó el ataque RBAC Buster, dijo que encontró 60 grupos de K8 expuestos que han sido explotados por el atacante detrás de la campaña.
La cadena de ataque comenzó cuando el atacante obtuvo acceso inicial a través de un servidor API mal configurado, seguido de la verificación de evidencia de malware minero de la competencia en el servidor comprometido y después usando RBAC para configurar la persistencia.
En la intrusión observada contra sus honeypots K8, el atacante intentó armar las claves de acceso de AWS expuestas para obtener un punto de apoyo en el entorno, robar datos y escapar de los confines del clúster.
El paso final del ataque implicó que el hacker creara un DaemonSet para implementar una imagen de contenedor alojada en Docker («kuberntesio/kube-controller:1.0.1») en todos los nodos. El contenedor, que ha sido extraído 14,399 veces desde que se cargó hace cinco meses, alberga un minero de criptomonedas.
Algunas de las tácticas descritas en la campaña tienen similitudes con otra operación ilícita de minería de criptomonedas que también aprovechó DaemonSets para acuñar Dero y Monero. Actualmente no está claro si los dos conjuntos de ataques están relacionados.