Des hackers abusent d’un outil de surveillance du cloud pour infiltrer les environnements Linux

TeamTNT a été pris en train d’utiliser le véritable outil Weave Scope Docker et Kubernetes comme une porte dérobée efficace vers les serveurs cibles

Les cybercriminels abusent d’un outil de surveillance cloud de confiance, Docker et Kubernetes, pour cartographier les réseaux de leurs victimes et exécuter les commandes du système.

Après avoir été connu pour utiliser des images Docker malveillantes pour infecter les serveurs des victimes, TeamTNT a maintenant été observé utilisant Weave Scope comme une porte dérobée efficace dans l’infrastructure de réseau en cloud de ses cibles, selon l’analyse d’Intezer.

Un outil pourtant crédible et de confiance

Weave Scope est un outil de confiance qui donne aux utilisateurs un accès complet à leur environnement en nuage, et est intégré à Docker, Kubernetes, le système d’exploitation distribué en nuage (DC/OS) et l’AWS Elastic Compute Cloud (ECS). Les pirates informatiques ont toutefois déployé cet outil de manière illicite pour cartographier les environnements des victimes potentielles et exécuter les commandes du système sans avoir à déployer de code malveillant.

Cet outil open-source, développé par Weave Works, permet aux fournisseurs de surveiller et de visualiser les serveurs Docker et Kubernetes, les utilisateurs ayant le contrôle total de l’infrastructure grâce à un tableau de bord accessible par un navigateur web.

Une situation problématique face à une utilisation intensive

En cas d’abus, les attaquants ont accès à toutes les informations sur l’environnement du serveur, en plus de la possibilité d’installer des applications, d’établir des connexions entre les charges de travail du nuage, et de démarrer ou d’arrêter ou d’ouvrir des shells interactifs dans des conteneurs.

Ce degré de fonctionnalité est équivalent à celui d’un attaquant ayant installé une porte dérobée sur le serveur, avec beaucoup moins d’efforts et sans avoir besoin d’utiliser de logiciels malveillants, a ajouté M. Fishbein.

Pour installer Weave Scope, un pirate devrait utiliser un port API Docker exposé et créer un nouveau conteneur privilégié avec une image Ubuntu propre. Ce conteneur serait ensuite configuré pour monter le système de fichiers du conteneur sur le système de fichiers du serveur victime, et donc permettre aux attaquants d’accéder à tous les fichiers du serveur..