سوءاستفاده هکرها از مایکروسافت آژور برای استخراج رمزارز

مایکروسافت چهارشنبه‌ی گذشته از ربوده‌شدن شماری از کلاسترهای داخل سرویس رایانش ابری آژور (Microsoft Azure) خبر داد. براساس این گزارش اخیرا افراد سودجو اقدام‌به ربودن کلاسترهای قدرتمند مبتنی‌بر یادگیری ماشین سرویس آژور کرده‌اند تا ازطریق آن‌ها بتوانند بدون پرداخت هزینه و به‌لطف هزینه‌ی پرداخت‌شده توسط مشتریان مایکروسافت، به استخراج (ماینینگ) رمزارز مشغول شوند. کلاسترهایی که به‌اشتباه توسط مشتریان پیکربندی‌ شده‌ بودند به‌هدفی بسیار عالی برای افراد سودجو و اقدامی با عنوان «طرح‌های ربایش رمزارز» تبدیل شدند.

وظایف مبتنی‌بر فناوری یادگیری ماشین به‌طور معمول نیازمند مقادیر عظیم و متنوعی از منابع رایانشی هستند. افراد سودجو با انجام کارهایی خاص می‌توانند اهداف کاری سیستم را تغییر دهند و از منابع رایانشی عظیمی که دردسترس قرار دارد به‌منظور استخراج سکه‌های دیجیتالی استفاده کنند. بدین ترتیب افراد سودجو با حمله‌ به کلاسترهای مایکروسافت آژور به‌منابع عظیمی دست می‌یابند و می‌توانند با هزینه‌ی بسیار کم یا در بسیاری از مواقع بدون هیچ‌گونه‌ هزینه‌ی اضافی به استخراج رمزارز بپردازند.

کلاسترهای متأثرشده از حمله‌ی سایبری اخیر ظاهرا مبتنی‌بر پلتفرم Kubeflow بوده‌اند. Kubeflow را می‌توان فریم‌ورکی متن‌باز برای کارهای حوزه‌ی یادگیری ماشین به‌حساب آورد که خود بخشی از سیستم Kubernetes به‌حساب می‌آید. Kubernetes نیز به‌صورت مستقل فریم‌ورکی متن‌باز است که ازطریق آن می‌توان وظایف مقیاس‌پذیر متنوعی را در شمار زیادی از رایانه‌ها، پیاده‌سازی کرد.

مایکروسافت در بیانیه‌ی جدید خود می‌گوید شمار کلاسترهای ربوده‌شده به ده‌ها مورد می‌رسد. بسیاری از این کلاسترها درحال اجرای فایلی بوده‌اند که در مخزن مجازی عمومی خاصی قرار داشته است. این مخزن باعث می‌شود هر یک از کاربران مجبور نباشد فایل موردبحث را به‌صورت مستقل بسازد و به‌همین ترتیب در زمان او صرفه‌جویی می‌شود. بازرسان مایکروسافت پس از بررسی‌های بیشتر متوجه شدند مخزن مجازی موردبحث درخود کدی داشته که به‌شکل محرمانه درحال استخراج رمزارز مونرو (Monero) بوده است. 

ممکن است برای‌تان سؤال پیش بیاید که انجام چنین کاری چگونه ممکن است؟ بازرسان مایکروسافت به‌دنبال پیدا کردن کلاسترهای متأثرشده از حمله‌ی سایبری اخیر، مشغول بررسی این حقیقت شدند که افراد سودجو چگونه توانسته‌اند به درون کلاسترها نفوذ کنند. داشبوردی که امکان کنترل فریم‌ورک Kubeflow را فراهم می‌کند برای رعایت جوانب امنیتی به‌صورت پیش‌فرض تنها ازطریق گِیت Istio Ingress قابل‌دسترسی است. طبق بررسی‌ها، این گیت به‌‌طور معمول در حاشیه‌ی شبکه‌ی کلاستر قرار دارد. تنظیمات پیش‌فرض به‌صورت گسترده باعث می‌شود کاربران اینترنت در حالت عادی توانایی دسترسی به داشبورد و اعمال تغییرات غیرمجاز در کلاستر را نداشته باشند.

یوسی وایزمن، از مهندسان نرم‌افزار مرکز امنیتی آژور در مایکروسافت می‌گوید که شماری از کاربران تنظیمات پیش‌فرض را تغییر داده‌اند. او می‌گوید: «ما معتقد هستیم شماری از کاربران برای راحت‌ترکردن روند استفاده از کلاستر، تصمیم گرفته‌اند تنظیمات امنیتی پیش‌فرض را تغییر دهند. اگر تغییرات موردبحث اعمال نشده باشند،‌ به‌منظور دسترسی به داشبورد باید از درون سرور Kubernetes API عبور کنید، بنابراین امکات دسترسی مستقیم فراهم نمی‌شود؛ اما ازطریق اعمال تغییرات، کاربران می‌توانند امکان دسترسی مستقیم به داشبورد را فراهم کنند. البته انجام این کار باعث می‌شود دسترسی به داشبورد Kubeflow ازلحاظ تئوری به‌شکلی غیرامن انجام بگیرد و هرکسی بتواند در این پلتفرم به انجام کارهای مدنظرش بپردازد. کارهایی که از بین آن‌ها می‌توانیم به پیاده‌سازی محفظه‌هایی جدید به‌درون کلاستر اشاره کنیم».

زمانی‌که افراد سودجو بتوانند به داشبورد دسترسی پیدا کنند، از چند روش مختلف می‌توانند به پیاده‌سازی محفظه‌های دارای بک‌دور در کلاستر بپردازند. برای مثال مهاجمان می‌توانند آنچه را که از آن با نام ژوپیتر نوت‌بوک (Jupyter Notebook) یاد می‌شود بسازند و آن را در کلاستر به‌اجرا دربیاورند. سپس مهاجمان بدافزارهای مدنظرشان را در داخل ژوپیتر نوت‌بوک قرار می‌دهند و آن را به کلاستر تزریق می‌کنند.