Firma Microsoft opublikowała nowy raport opisujący nową serię ataków wymierzonych w zestaw narzędzi o nazwie Kubeflow, który służy do wykonywania operacji uczenia maszynowego w klastrach Kubernetes. Ataki rozpoczęły się w kwietniu tego roku i były kontynuowane, a ich celem było zainstalowanie koparki kryptowalut w klastrach Kubernetes dostępnych w Internecie i obsługujących Kubeflow. W poście na blogu Yossi Weizman, inżynier oprogramowania do badań bezpieczeństwa w Azure Security Center, podał więcej szczegółów na temat Kubeflow oraz tego, dlaczego węzły używane do zadań uczenia maszynowego są tak atrakcyjnym celem dla cyberprzestępców, mówiąc: „Kubeflow to projekt typu open source, który rozpoczął się jako projekt do uruchomienia pracy TensorFlow na Kubernetesie. Kubeflow rozrósł się i stał się popularnym frameworkiem do wykonywania zadań uczenia maszynowego w Kubernetesie. Węzły używane do zadań ML są często stosunkowo wydajne i w niektórych przypadkach obejmują procesory graficzne. Fakt ten sprawia, że klastry Kubernetes wykorzystywane do zadań ML są idealnym celem dla kampanii szyfrujących, które były celem tego ataku. "
Microsoft śledził te ataki od chwili, gdy po raz pierwszy pojawiły się w Internecie w kwietniu. Jednak po pierwszej fali ataków stojący za nimi syndykat zajmujący się wydobywaniem kryptowalut przestał atakować klastry Kubernetes ogólnego przeznaczenia na rzecz konkretnie tych, które korzystają z Kubeflow do uruchamiania operacji uczenia maszynowego. Na podstawie wyników wstępnego dochodzenia gigant oprogramowania uważa obecnie, że źle skonfigurowane instancje Kubeflow są najbardziej prawdopodobnym punktem wyjścia dla atakujących. Jest to prawdopodobnie wynikiem zmiany przez administratorów Kubeflow domyślnych ustawień zestawu narzędzi, co odsłoniło ich panel administracyjny online. Domyślnie panel administracyjny Kubeflow jest dostępny tylko z poziomu klastra Kubernetes, a nie przez Internet. Według Weizmana syndykat zajmujący się wydobywaniem kryptowalut aktywnie bada te panele internetowe. Po znalezieniu pula wdraża nowy obraz serwera w klastrach Kubeflow z aplikacją do wydobywania kryptowaluty Monero o nazwie XMRig. Administratorzy serwerów mogą sprawdzić, czy ich instancje Kubeflow zostały zhakowane, wpisując tę komendę: kubectl get pods –all-namespaces -o jsonpath = ”{. ArtykułyContainers .spec..image} "| grep -i ddsfdfsaadfs. Aby uniknąć padnięcia ofiarą tych ataków, administratorzy serwerów powinni zadbać o to, aby panel kontrolny Kubeflow nie był wystawiony na działanie Internetu. Przez ZDNet