Cloud-Native-Bedrohungslage spitzt sich zu

Cloud-Security-Anbieter Sysdig hat seinen aktuellen "Cloud Native Threat Report" für das Jahr 2022 veröffentlicht. Dieser basiert auf den Untersuchungen des unternehmenseigenen Threat Research Teams (TRT). Zu den zentralen Erkenntnissen zählen dabei:

• Cryptojacking ist die häufigste Form des Angriffs auf Container-basierte Systeme, die in der Cloud laufen.

• Geopolitische Motive - insbesondere in Zusammenhang mit Russlands Angriffskrieg gegen die Ukraine - haben 2022 zu einer Vervierfachung der Distributed-Denial-of-Service-Angriffe geführt.

Our 2022 #CloudNative Threat Report is out! Read the latest insights from the Sysdig Threat Research Team on emerging threats for containers, #Kubernetes & cloud; including:
?? Cryptojacking
?? Supply Chain Attacks
?? Geopolitical Hacktivism

Learn more??: https://t.co/FSZumY2yLC

— Sysdig (@sysdig) September 28, 2022

Cryptojacker lieben Container-Images

Da Container zunehmend in Cloud-basierten Systemen eingesetzt würden, seien sie auch zu einem wichtigen Angriffsvektor für Attacken auf die Lieferkette geworden, schreiben die Studienautoren: "Weil Container-Images portabel konzipiert sind, ist es für einen Entwickler einfach, einen Container mit einer anderen Person zu teilen. Es gibt mehrere Open-Source-Projekte, die Quellcode bereitstellen, um eine Container-Registry auszuliefern oder frei zugängliche Container-Registries, damit Entwickler Images austauschen können."

Dabei würden öffentliche Container-Image-Repositories wie Docker Hub zunehmend mit bösartigen Images befüllt. Diese enthielten als legitime Softwareanwendungen getarnte Cryptominer, Backdoors und andere Bedrohungen. Für opportunistische Angreifer, die kritische Schwachstellen ausnutzen, bleibt dabei laut der Studie Cryptojacking - die unbefugte Nutzung der Computerinfrastruktur, um Kryptowährungen zu schürfen - die Hauptmotivation. Michael Clark, Director of Threat Research bei Sysdig, gewährt konkrete Einblicke: "In der Docker-Hub-Analyse belief sich die Gesamtzahl der eindeutig bösartigen Images im gemeldeten Datensatz auf 1.777. Davon enthielten 34 Prozent Krypto-Miner."

Die hohe Prävalenz von Cryptojacking-Aktivitäten ist laut Sysdig einerseits auf das geringe Risiko und andererseits auf die hohe Belohnung für die Täter zurückzuführen. Demnach machen Cryptojacker pro 53 Dollar an Rechenressourcen, die dem Opfer in Rechnung gestellt werden, einen Dollar Gewinn. Diese Berechnung stützt das Cybersecurity-Unternehmen auf die Kosten, die durch Cryptomining entstehen - und eine Analyse der Aktivitäten eines Bedrohungsakteurs namens "TeamTNT".

Dessen Aktivitäten konnte das Sysdig TRT mithilfe eines globalen Honeypot-Netzwerks nachvollziehen. Die Security-Forscher konnten "TeamTNT" Kryptowährung im Wert von 8.100 Dollar zuordnen, die auf gestohlener Cloud-Infrastruktur geschürft wurde. Die Kosten für die Opfer: mehr als 430.000 Dollar. "Das wird berechnet, indem man herausfindet, wie viel es kostet, einen Krypto-Coin auf einer AWS-Instanz zu schürfen. Das vergleicht man dann mit dem Dollarwert dieses Coins", erklärt Clark. "Die Kosten für den Angreifer sind praktisch gleich Null, das Opfer muss die teure Cloud-Infrastrukturrechnung bezahlen."

Russischer Angriffskrieg befeuert DDoS

Die Sysdig-Studie legt zudem nahe, dass es seit dem Beginn der russischen Invasion in der Ukraine zu einem sprunghaften Anstieg von DDoS-Angriffen in Zusammenhang mit Containern gekommen ist: "Das Ziel, die IT-Infrastruktur und die Versorgungsunternehmen zu stören, hat zu einem vierfachen Anstieg der DDoS-Angriffe zwischen dem vierten Quartal 2021 und dem ersten Quartal 2022 geführt", heißt es im Report des Unternehmens. "Über 150.000 Freiwillige haben sich an antirussischen DDoS-Kampagnen beteiligt, die Container-Images von Docker Hub verwenden. Die Bedrohungsakteure treffen jeden, den sie als Sympathisanten ihres Gegners wahrnehmen und jede ungesicherte Infrastruktur wird als Druckmittel für die Skalierung der Angriffe ins Visier genommen."

Auf der anderen Seite habe eine pro-russische Hacktivisten-Gruppe namens "Killnet" mehrere DDoS-Angriffe auf NATO-Länder gefahren und damit unter anderem Websites in Italien, Polen, Estland, der Ukraine und den Vereinigten Staaten lahmgelegt.

"Da viele Websites heute in der Cloud gehostet werden, ist DDoS-Schutz zwar inzwischen weit verbreitet, aber eben noch nicht flächendeckend. Manchmal können diese Maßnahmen von raffinierten Angreifern umgangen werden", schreiben die Studienautoren. "Container, die fertig mit DDoS-Software ausgestattet sind, erleichtern es den Hacktivisten, ihre Freiwilligen möglichst schnell einzusetzen."

Angriffe auf Cloud-Systeme verhindern

Eine mehrschichtige Verteidigung ist laut Sysdig der beste Weg, um solche Angriffe auf Cloud-basierte Systeme zu verhindern: "Cloud-Sicherheitsteams sollten präventive Kontrollen wie Vulnerability- und Berechtigungsmanagement implementieren. Damit wird es den Angreifern erschwert, ihre Infrastruktur zu kompromittieren", empfiehlt Clark. Darüber hinaus würden sich Techniken wie eine auf Machine Leanring basierende Cryptominer-Erkennung empfehlen, so der Sysdig-Chefanalyst.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.