Il cryptojacking è una pratica sempre più diffusa e quasi sempre utilizzata per generare monete digitali (mining), nascondendo il codice JavaScript nelle pagine web e sfruttando la CPU del computer all’insaputa degli utenti. In alcuni casi, i bersagli dei malintenzionati sono aziende piuttosto note, come Aviva (compagnia assicurativa britannica) e Gemalto (maggiore produttore mondiale di SIM card). L’ultima vittima in ordine di tempo è Tesla, casa automobilistica conosciuta in tutto il mondo per i suoi veicoli elettrici.
I ricercatori di RedLock hanno scoperto un attacco cryptojacking contro la console di Kubernetes, un sistema open source che automatizza la gestione, lo scaling e il deployment delle app virtualizzate. Nel caso di Tesla, la console non era protetta dalla password, per cui i cybercriminali hanno avuto accesso ad un pod di Kubernetes, alle credenziali dell’ambiente AWS e quindi ad alcuni dati sensibili, come la telemetria. I pod di Kubernetes sono stati anche sfruttati per eseguire gli script per il cryptojacking. La rilevazione dell’intrusione è stata ostacolata con diverse tecniche di evasione.
Invece di usare un mining pool pubblico è stato installato un mining pool software e configurato lo script per la connessione ad un endpoint non listato. Gli hacker hanno anche nascosto l’indirizzo IP del server di mining dietro CloudFlare. Per evitare di destare sospetti è stato inoltre impostato un uso basso della CPU. Dopo aver ricevuto la segnalazione, Tesla ha prontamente risolto la vulnerabilità.
Non è noto se sono stati rubati dati privati dei clienti. Questo ennesimo attacco dimostra che possono essere utilizzate diverse tecniche per generare criptovalute. In molti casi la vittima non si accorge di nulla, a meno che l’uso della CPU non raggiunga valori elevati.