Siloscape est le nom du premier malware connu ciblant entièrement les conteneurs Windows Server avec l'intention d'infecter les clusters Kubernetes dans les environnements cloud.
Le malware a été découvert par Daniel Prizmant, chercheur en sécurité de Palo Alto Unit 42.:
En mars 2021, J'ai découvert le premier malware connu ciblant les conteneurs Windows, une évolution qui n'est pas surprenante compte tenu de l'essor massif de l'adoption du cloud ces dernières années. J'ai nommé le malware Siloscape (sonne comme une fuite de silo) car son objectif premier est de s'échapper du conteneur, et sous Windows, cela est principalement implémenté par un silo de serveurs, dit-il dans sa publication.
Un regard sur le logiciel malveillant Siloscape
Quel est le but de Siloscape, le malware vise à ouvrir une porte dérobée dans des clusters Kubernetes mal configurés et à exécuter des conteneurs malveillants tels que des cryptojackers. En outre, le malware est « fortement obscurci," et puisqu'il cible des clusters entiers au lieu de conteneurs individuels, son impact peut être assez désastreux.
“Contrairement aux autres conteneurs ciblant les malwares, qui sont principalement axés sur le cryptojacking, Siloscape ne fait rien qui puisse endommager le cluster par lui-même. Plutôt, il se concentre sur le fait d'être non détecté et introuvable et ouvre une porte dérobée au cluster," a déclaré Prizmant.
« Compromettre un cluster entier est beaucoup plus grave que de compromettre un conteneur individuel, comme un cluster peut exécuter plusieurs applications cloud alors qu'un conteneur individuel exécute généralement une seule application cloud,» Prizmant a expliqué dans son rapport. Le malware Siloscape pourrait permettre à un attaquant de voler des informations critiques à une organisation, tels que les noms d'utilisateur et les mots de passe, confidentiel, fichiers internes, voire des bases de données entières hébergées dans le cluster compromis.
Les scénarios d'attaque incluent également un ransomware, où les fichiers d'une organisation peuvent être pris en otage, ou violation des environnements de développement ou de test dans les attaques de la chaîne d'approvisionnement logicielle. Cette dernière attaque est tout à fait probable, alors qu'un nombre croissant d'entreprises migrent vers le cloud, utiliser les clusters Kubernetes comme environnements de test.
Au niveau des détails techniques, le malware Siloscape utilise le proxy Tor et un domaine .onion pour se connecter anonymement à son serveur C2. Unité 42 identifié 23 victimes actives de Siloscape. Aussi, son serveur était utilisé pour héberger 313 utilisateurs au total , indiquant que le malware était une petite partie d'une opération plus vaste. Le chercheur a également pu établir que cette campagne particulière était active depuis plus d'un an..
Comment lutter contre les logiciels malveillants Siloscape
Tout d'abord, les administrateurs doivent s'assurer que leur cluster Kubernetes est configuré de manière sécurisée. Il est à noter qu'un cluster Kubernetes sécurisé ne sera pas aussi vulnérable au malware Siloscape, car les privilèges des nœuds ne suffiront pas à créer de nouveaux déploiements, Prizmant conclu.
Cryptojacking Malware ciblant Kubernetes et Docker
L'année dernière, Opérateurs de cryptomining TeamTNT ciblaient AWS (Amazon Web Services) informations d'identification et installations Kubernetes. Le malware pourrait analyser les serveurs infectés pour les informations d'identification AWS. Au cas où les systèmes Docker et Kubernetes compromis s'exécutaient sur AWS, le groupe de logiciels malveillants rechercherait ~/.aws/credentials et ~/.aws/config. Puis, il copierait et téléchargerait les fichiers sur son serveur de commande et de contrôle.