Назад к блогу

VoidLink: Новый уровень угроз для Kubernetes и AI-окружений в облаке

4 мин. чтения2 просмотровИИ-генерациявредоносное поуправление уязвимостямиуправление поверхностью атакиeasm

VoidLink: новая угроза для Kubernetes и AI-окружений в облаке

В декабре 2023 года исследователи Check Point Research опубликовали отчет под названием «VoidLink: новая вредоносная платформа для атак на Kubernetes и AI-окружения в облаке» (https://research.checkpoint.com/2023/voidlink-malware-targeting-kubernetes-ai/). В отчете подробно описывается VoidLink — модульный фреймворк, ориентированный на эксплуатацию уязвимостей и ошибок конфигурации в Linux-контейнерных средах, включая Kubernetes и рабочие нагрузки, связанные с искусственным интеллектом. Среди ключевых индикаторов компрометации (IoC) приводятся хэши вредоносных бинарников, используемых модулей и примеры команд для скрытого распространения.

Особенности VoidLink и его архитектура

VoidLink представляет собой комплексный вредоносный фреймворк, созданный для эксплуатации уязвимостей и ошибок конфигурации в облачных сервисах и Kubernetes. По данным отчета Check Point Research, его ключевые характеристики включают:

  • Ориентация на Linux и контейнерные технологии. Вредоносное ПО разработано специально для Linux-сред и контейнерных оркестраторов, не являясь портом с других платформ.
  • Фокус на Kubernetes, включая kube-apiserver и admission controllers. VoidLink использует уязвимости и неправильные настройки в kube-apiserver, а также обход механизмов admission controllers для проникновения и распространения.
  • Атаки на AI-окружения и рабочие нагрузки. Платформа нацелена на компрометацию AI-моделей и данных, что может привести к утечке или подмене критичных моделей.
  • Модульная структура с несколькими компонентами. Вредоносное ПО включает модули для сканирования сети, загрузки дополнительных компонентов, обхода механизмов безопасности и устойчивости к обнаружению.
  • Использование техник обхода безопасности. Включает маскировку процессов, использование легитимных Kubernetes API и эксплуатацию misconfigurations, таких как чрезмерно широкие права доступа сервисных аккаунтов.

В отчете приведены конкретные примеры команд, используемых злоумышленниками, например, сканирование сети с помощью встроенных инструментов, загрузка и запуск дополнительных модулей через Kubernetes API, а также обход политик безопасности с помощью поддельных admission webhook. VoidLink способен эксплуатировать уязвимости и ошибки конфигурации в популярных облачных платформах, таких как AWS EKS, Google GKE и Azure AKS.

Почему это важно для организаций с внешней поверхностью атаки

Современные предприятия всё чаще используют гибридные и облачные решения с контейнеризацией и автоматизацией процессов через Kubernetes. Это расширяет внешнюю поверхность атаки и создает новые векторы для злоумышленников:

  • Уязвимость контейнеров и оркестраторов. Ошибки в конфигурации Kubernetes, включая неправильные настройки kube-apiserver и admission controllers, а также уязвимости в контейнерах, могут быть использованы VoidLink для проникновения.
  • Рост числа AI-сервисов. Поскольку AI-модели и данные являются ценными активами, их компрометация может привести к серьезным репутационным и финансовым потерям.
  • Сложность обнаружения. Специализированный фреймворк с продвинутыми методами маскировки, такими как использование легитимных API и поддельных admission webhook, затрудняет своевременное выявление атак.

Таким образом, организациям необходимо учитывать новые угрозы, ориентированные именно на облачные и контейнерные технологии, и адаптировать свои стратегии защиты с учетом конкретных векторов атаки, выявленных в отчете.

Практические рекомендации для команд безопасности

Для эффективной защиты от подобных угроз, связанных с VoidLink и аналогичными платформами, специалисты по информационной безопасности должны:

  • Проводить регулярный аудит конфигураций Kubernetes. Особое внимание уделять настройкам kube-apiserver, admission controllers, правам сервисных аккаунтов и сетевой политике.
  • Использовать специализированные решения для мониторинга контейнеров и облачной инфраструктуры. Внедрять инструменты, способные выявлять аномалии и подозрительную активность на уровне контейнеров и оркестраторов, включая мониторинг API-запросов.
  • Обеспечивать сегментацию и минимизацию прав доступа. Ограничивать возможности злоумышленников при компрометации одной из частей инфраструктуры, особенно сервисных аккаунтов с высокими привилегиями.
  • Обновлять и патчить компоненты AI-сред и контейнерных платформ. Следить за выходом обновлений безопасности и своевременно их применять.
  • Обучать команды безопасности особенностям угроз, связанных с облачными и AI-окружениями. Понимание специфики атак помогает быстрее реагировать и предотвращать инциденты.

Отчет Check Point Research демонстрирует, что злоумышленники всё активнее нацеливаются на современные облачные технологии, используя новые техники обхода и эксплуатации ошибок конфигурации, что требует от организаций постоянного совершенствования подходов к управлению внешней поверхностью атаки и усиления мер безопасности.

Источник: Check Point Research, декабрь 2023 года. Отчет содержит технические детали о векторах атаки, используемых модулях VoidLink и рекомендациях по защите: https://research.checkpoint.com/2023/voidlink-malware-targeting-kubernetes-ai/

Поделиться:TelegramVK

Похожие статьи

Распространение инфостилера через Docker после атаки на Trivy: новые риски для внешней поверхности атаки

24 мар. 20263 мин. чтения2
безопасность контейнероввредоносное поуправление уязвимостямиуправление поверхностью атакиeasm
Новости

Обзор недели: новые угрозы в кибербезопасности и их влияние на управление внешней поверхностью атаки

23 фев. 20263 мин. чтения4
управление поверхностью атакиeasmоценка рисковуправление уязвимостямивредоносное по

Постоянные атаки на MS-SQL серверы с внедрением вредоносного сканера ICE Cloud Client

25 мар. 20263 мин. чтения1
вредоносное поуправление уязвимостямиуправление поверхностью атакиeasmоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.