VoidLink: новая угроза для Kubernetes и AI-окружений в облаке

В декабре 2023 года исследователи Check Point Research опубликовали отчет под названием «VoidLink: новая вредоносная платформа для атак на Kubernetes и AI-окружения в облаке» (https://research.checkpoint.com/2023/voidlink-malware-targeting-kubernetes-ai/). В отчете подробно описывается VoidLink — модульный фреймворк, ориентированный на эксплуатацию уязвимостей и ошибок конфигурации в Linux-контейнерных средах, включая Kubernetes и рабочие нагрузки, связанные с искусственным интеллектом. Среди ключевых индикаторов компрометации (IoC) приводятся хэши вредоносных бинарников, используемых модулей и примеры команд для скрытого распространения.

Особенности VoidLink и его архитектура

VoidLink представляет собой комплексный вредоносный фреймворк, созданный для эксплуатации уязвимостей и ошибок конфигурации в облачных сервисах и Kubernetes. По данным отчета Check Point Research, его ключевые характеристики включают:

• Ориентация на Linux и контейнерные технологии. Вредоносное ПО разработано специально для Linux-сред и контейнерных оркестраторов, не являясь портом с других платформ.
• Фокус на Kubernetes, включая kube-apiserver и admission controllers. VoidLink использует уязвимости и неправильные настройки в kube-apiserver, а также обход механизмов admission controllers для проникновения и распространения.
• Атаки на AI-окружения и рабочие нагрузки. Платформа нацелена на компрометацию AI-моделей и данных, что может привести к утечке или подмене критичных моделей.
• Модульная структура с несколькими компонентами. Вредоносное ПО включает модули для сканирования сети, загрузки дополнительных компонентов, обхода механизмов безопасности и устойчивости к обнаружению.
• Использование техник обхода безопасности. Включает маскировку процессов, использование легитимных Kubernetes API и эксплуатацию misconfigurations, таких как чрезмерно широкие права доступа сервисных аккаунтов.

В отчете приведены конкретные примеры команд, используемых злоумышленниками, например, сканирование сети с помощью встроенных инструментов, загрузка и запуск дополнительных модулей через Kubernetes API, а также обход политик безопасности с помощью поддельных admission webhook. VoidLink способен эксплуатировать уязвимости и ошибки конфигурации в популярных облачных платформах, таких как AWS EKS, Google GKE и Azure AKS.

Почему это важно для организаций с внешней поверхностью атаки

Современные предприятия всё чаще используют гибридные и облачные решения с контейнеризацией и автоматизацией процессов через Kubernetes. Это расширяет внешнюю поверхность атаки и создает новые векторы для злоумышленников:

• Уязвимость контейнеров и оркестраторов. Ошибки в конфигурации Kubernetes, включая неправильные настройки kube-apiserver и admission controllers, а также уязвимости в контейнерах, могут быть использованы VoidLink для проникновения.
• Рост числа AI-сервисов. Поскольку AI-модели и данные являются ценными активами, их компрометация может привести к серьезным репутационным и финансовым потерям.
• Сложность обнаружения. Специализированный фреймворк с продвинутыми методами маскировки, такими как использование легитимных API и поддельных admission webhook, затрудняет своевременное выявление атак.

Таким образом, организациям необходимо учитывать новые угрозы, ориентированные именно на облачные и контейнерные технологии, и адаптировать свои стратегии защиты с учетом конкретных векторов атаки, выявленных в отчете.

Практические рекомендации для команд безопасности

Для эффективной защиты от подобных угроз, связанных с VoidLink и аналогичными платформами, специалисты по информационной безопасности должны:

• Проводить регулярный аудит конфигураций Kubernetes. Особое внимание уделять настройкам kube-apiserver, admission controllers, правам сервисных аккаунтов и сетевой политике.
• Использовать специализированные решения для мониторинга контейнеров и облачной инфраструктуры. Внедрять инструменты, способные выявлять аномалии и подозрительную активность на уровне контейнеров и оркестраторов, включая мониторинг API-запросов.
• Обеспечивать сегментацию и минимизацию прав доступа. Ограничивать возможности злоумышленников при компрометации одной из частей инфраструктуры, особенно сервисных аккаунтов с высокими привилегиями.
• Обновлять и патчить компоненты AI-сред и контейнерных платформ. Следить за выходом обновлений безопасности и своевременно их применять.
• Обучать команды безопасности особенностям угроз, связанных с облачными и AI-окружениями. Понимание специфики атак помогает быстрее реагировать и предотвращать инциденты.

Отчет Check Point Research демонстрирует, что злоумышленники всё активнее нацеливаются на современные облачные технологии, используя новые техники обхода и эксплуатации ошибок конфигурации, что требует от организаций постоянного совершенствования подходов к управлению внешней поверхностью атаки и усиления мер безопасности.

---

Источник: Check Point Research, декабрь 2023 года. Отчет содержит технические детали о векторах атаки, используемых модулях VoidLink и рекомендациях по защите: https://research.checkpoint.com/2023/voidlink-malware-targeting-kubernetes-ai/

---