ATHLE.FR | Championnats de France du 10 km : Flix Bour, sacr cadeau…

Chaque téléphone et tablette Galaxy mis à jour vers One UI 5.1

L’Irlande attend le capitaine Coleman avant le choc contre la…

Informatique

Les attaquants créent 130 000 faux comptes pour abuser des ressources de cloud computing à durée limitée

Lire aussi :

Les 3 principales actions de croissance de…

Perspectives sur la façon dont les tendances du cloud…

Un groupe d’attaquants exécute une opération de cryptomining qui exploite les ressources et les plates-formes de cloud computing gratuites ou à l’essai proposées par plusieurs fournisseurs de services, notamment GitHub, Heroku et Togglebox. L’opération est hautement automatisée à l’aide de processus CI/CD et implique la création de dizaines de milliers de faux comptes et l’utilisation de cartes de crédit volées ou fausses pour activer des essais limités dans le temps.

Les chercheurs de l’unité 42 de Palo Alto Networks ont surnommé le groupe Automated Libra et pensent qu’il est basé en Afrique du Sud. Au plus fort de la campagne, baptisée PurpleUrchin, en novembre, le groupe enregistrait entre trois et cinq comptes GitHub chaque minute à l’aide de processus automatisés de neutralisation CAPTCHA avec l’intention d’abuser des flux de travail GitHub Actions pour l’exploitation minière.

« Chacun des comptes GitHub a ensuite été impliqué dans une stratégie de jeu et d’exécution, où chaque compte utiliserait des ressources de calcul, mais les acteurs de la menace ont finalement laissé leurs onglets impayés », ont déclaré les chercheurs dans leur rapport. « Cela semble être une procédure opérationnelle standard pour PurpleUrchin, car il est prouvé qu’ils ont créé plus de 130 000 comptes sur divers fournisseurs de serveurs privés virtuels (VPS) et fournisseurs de services cloud (CSP). »

Une combinaison de freejacking et de tactiques de jeu et de course

Les chercheurs qualifient l’abus d’offres gratuites de freejacking et la création de comptes qui entraînent des frais et ne sont jamais payés comme « play and run ». Ce dernier est plus difficile à réaliser car la plupart des fournisseurs de services exigent que l’utilisateur enregistre une carte de crédit ou un mode de paiement valide avant de lui donner accès aux ressources informatiques payantes. Cependant, même si l’utilisation est suivie et facturée à la minute, la facture est généralement émise après une période plus longue. Cela donne aux attaquants une fenêtre de temps pour abuser de ces services.

Automated Libra semble avoir utilisé les deux méthodes, suggérant qu’ils avaient accès à des cartes de crédit volées ou au moins à des cartes qui seraient acceptées par le système même si elles étaient ensuite signalées comme volées et verrouillées par les émetteurs. Cela montre l’importance de disposer de solides systèmes de paiement anti-fraude.

PurpleUrchin fonctionne depuis 2019, et même s’ils ont souvent abusé des fournisseurs de VPS qui proposent des serveurs entièrement virtualisés, ils ont également étendu leur fonctionnement pour cibler les plates-formes d’hébergement d’applications cloud. Heroku, par exemple, fournit une plate-forme d’hébergement d’applications cloud qui prend en charge plusieurs langages de programmation, tandis que Togglebox fournit à la fois des services VPS et d’hébergement d’applications. Les deux prennent en charge le déploiement d’applications en tant que conteneurs à l’aide de Docker et de Kubernetes, et Automated Libra en a pleinement profité.

« L’architecture d’infrastructure employée par les acteurs utilise des techniques CI/CD, dans lesquelles chaque composant logiciel individuel d’une opération est placé dans un conteneur », ont déclaré les chercheurs. « Ce conteneur fonctionne dans une architecture modulaire au sein de l’exploitation minière plus large. Les architectures CI/CD fournissent des environnements opérationnels hautement modulaires, permettant à certains composants d’une opération d’échouer, d’être mis à jour ou même d’être résiliés et remplacés, sans affecter l’environnement plus large. »

Tous les conteneurs ne sont pas utilisés pour le cryptomining. Certains sont utilisés pour automatiser la création de comptes et les tâches de déploiement tandis que d’autres sont utilisés pour automatiser la vente de la crypto-monnaie extraite sur différentes plateformes de trading et échanges.

Minage avec les workflows GitHub

GitHub Actions est une plate-forme CI/CD commerciale pour automatiser la création et le test de code logiciel qui offre un service gratuit pour les référentiels publics et des minutes gratuites de temps d’exécution et d’espace de stockage pour les référentiels privés. Les workflows GitHub Actions sont des processus automatisés définis dans des fichiers .yml à l’aide de la syntaxe YAML qui sont exécutés lorsque certains déclencheurs ou événements se produisent. Ils peuvent impliquer l’exécution de scripts Bash, la génération et la copie de fichiers, etc. Il s’agit essentiellement d’une série de tâches définies par l’utilisateur exécutées sur une machine virtuelle, généralement dans le but de compiler des applications à partir de code et de les tester.

Pour automatiser la création de comptes GitHub, les attaquants ont utilisé des conteneurs déployés sur Togglebox qui contenaient un navigateur basé sur Chromium appelé Iron ; xdotool, un outil utilisé pour générer des entrées clavier et souris ; et la boîte à outils ImageMagick, qui peut être utilisée pour convertir, éditer et composer des images numériques.

Tout d’abord, le processus automatisé a ouvert la page de création de compte GitHub Iron et a ouvert une session de bureau à distance VNC sur le navigateur. Xdotool s’est connecté au navigateur via VNC et a automatiquement rempli et soumis le formulaire. À ce stade, le processus de création de compte présente un CAPTCHA que l’utilisateur doit résoudre.

Le défi GitHub CAPTCHA demande à l’utilisateur de sélectionner la galaxie spirale parmi plusieurs images avec des galaxies de formes différentes. Pour le transmettre, xdotool télécharge les images et les transmet à ImageMagick, qui est ensuite utilisé pour les convertir en images complémentaires rouges, vertes et bleues (RVB). Cela les transforme essentiellement en taches de couleurs rouge, verte et bleue sur fond blanc. Ensuite, la commande d’identification d’ImageMagick est utilisée pour déterminer « l’asymétrie » du canal rouge, et l’image avec les valeurs les plus basses a été choisie comme galaxie spirale.

Tout ce processus automatisé, que les chercheurs ont réussi à récupérer à partir d’un conteneur, a été conçu spécifiquement pour un défi CAPTCHA et il est peu probable qu’il fonctionne avec d’autres. Les chercheurs n’ont pas testé l’efficacité de cette technique, mais ont déterminé que les attaquants avaient réussi à enregistrer plus de 20 000 comptes GitHub rien qu’en novembre.

Une fois le compte enregistré, l’étape suivante consistait à enregistrer un jeton d’accès personnel (PAT) avec des autorisations de flux de travail, à configurer des clés SSH et à utiliser l’API GitHub pour configurer un référentiel et les autorisations correspondantes. Le référentiel a ensuite été mis à jour avec un workflow généré par un script PHP pour avoir des attributs aléatoires et être unique par rapport aux workflows déployés sur d’autres comptes.

Une fois exécuté, le flux de travail a créé 64 tâches et utilisé 64 tâches et utilisé repository_dispatch sous l’événement github.event.client_payload.app pour exécuter des applications hébergées en externe. Initialement, ceux-ci étaient utilisés pour exécuter des scripts Bash externes, mais les attaquants sont ensuite passés à l’exécution de conteneurs qui ont installé et lancé la fonctionnalité de cryptominage.

« Il est important de noter qu’Automated Libra conçoit son infrastructure pour tirer le meilleur parti des outils CD/CI », ont déclaré les chercheurs. « Cela devient plus facile à réaliser au fil du temps, car les VSP traditionnels diversifient leurs portefeuilles de services pour inclure des services liés au cloud. La disponibilité de ces services liés au cloud facilite la tâche des acteurs de la menace car ils n’ont pas à maintenir l’infrastructure pour déployer leur applications. Dans la majorité des cas, il leur suffira de déployer un conteneur. »

Alors que ce groupe abuse des ressources informatiques des fournisseurs de services cloud eux-mêmes, les mêmes pratiques de développement modernes et services d’hébergement d’applications cloud sont de plus en plus utilisés pour mettre en place une infrastructure de commande et de contrôle par différents groupes pour une variété d’attaques, ce qui rend les efforts d’attribution et de retrait beaucoup plus importants. Plus difficile.

Copyright © 2023 IDG Communications, Inc.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les 3 principales actions de croissance de l’informatique…

Perspectives sur la façon dont les tendances du cloud computing et du…

C’est un monde quantique bizarre et bizarre

Intel lance un SDK d’informatique quantique, vous pouvez donc…

L’accord Google Cloud renforce le support informatique pour les…

XR et informatique immersive

1 De 169

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite