محققان کمپین حمله جدیدی را کشف کردهاند که نمونههای نوتبوک Jupyter را به خطر میاندازد و بدافزار cryptojacking را بر روی آن مستقر میکند. این عملیات از Discord برای عملیات کنترل و فرمان استفاده میکند و اطلاعات AWS و Google Cloud را از سرورهای در معرض خطر به سرقت میبرد.
محققان Cado Security که در در زمینه ارزیابی امنیت ابری و پاسخگویی به حوادث فعالیت دارند، در گزارشی اعلام کردند: «Qubitstrike یک کمپین بدافزار نسبتاً پیچیده است که توسط مهاجمان با تمرکز ویژه بر بهرهبرداری از خدمات ابری هدایت میشود. نوتبوکهای Jupyter معمولاً در محیطهای ابری مستقر میشوند و ارائهدهندگانی مانند Google و AWS آنها را بهعنوان خدمات مدیریتشده ارائه میکنند.
محققان شرکت Cado Security مشاهده کردهاند که مهاجمان Qubitstrike به هانیپاتهای نوتبوک Jupyter که عمداً محافظت نشدهاند متصل میشوند و از ویژگی دسترسی ترمینال جهت باز کردن رابط خط فرمان Bash استفاده میکنند و به صورت دستی مجموعهای از دستورات را برای دریافت اطلاعات CPU سیستم، اطلاعات کاربر وارد شده به سیستم و اخذ دسترسی root از طریق دستور su، در صورت نصب ابزار curl، اجرا کردهاند.
این مرحله با اجرای یک فرمان کدگذاری شده با base64 زمانی به اوج خود میرسد که از curl برای دانلود یک اسکریپت Bash به نام mi.sh از یک حساب کاربری در codeberg.org، یک پلتفرم میزبانی Git که مشابه GitHub است، استفاده میشود. اسکریپت در یک پوشه موقت ذخیره شده، سپس اجرا و در نهایت حذف میشود.
اسکریپت mi.sh سیستم را برای استقرار ابزارهای اضافی، به ویژه نسخهای از برنامه استخراج ارز دیجیتال XMRig، تنظیم میکند. ابتدا، اسکریپت ابزارهای curl و wget را در سیستم تغییر نام میدهد تا در زمان استفاده از آنها، ابزارهای شناسایی در سیستم تحریک نشوند. همچنین این اسکریپت فرآیندهای در حال اجرا را جهت کشف حضور کریپتوماینرهای رقیب، اسکن کرده و در صورت وجود، آنها را از بین میبرد. این اسکریپت همچنین اتصالات به یک لیست کدگذاری شده از آدرسهای IP مرتبط با عملیات رمزنگاری را نیز از بین میبرد. از دیگر اقدامات انجام شده توسط این اسکریپت، یافتن و حذف لاگهای مختلف سیستم است و با ثبت چندین کار cron و افزودن کلید SSH مهاجم به سیستم، بقا و مانایی خود را در سیستم تضمین میکند.
مهمتر از همه، این اسکریپت روتکیتی به نام Diamorphine را دانلود و اجرا میکند که این روتکیت به عنوان یک ماژول هسته عمل میکند که با دستور insmod بارگذاری شده و هدف آن مخفی کردن فرآیندهای مهاجم در سیستم است. اگر دستور insmod از کار بیفتد، مهاجمان Diamorphine را از مبداء به عنوان یک فایل اشتراکگذاری شده لینوکس کامپایل کرده و سپس از روش LD Preload برای ثبت آن با پیونددهنده پویا استفاده میکنند، در نتیجه هر بار که یک فایل اجرایی جدید روی سیستم راهاندازی شود، فایل مخرب اجرا میشود.
به گفته محققان Cado: "Diamorphine در محافل بدافزار لینوکس به خوبی شناخته شده است، به طوری که این روتکیت در کمپینهای TeamTNT و اخیراً Kiss-a-dog مشاهده شده است. کامپایل بدافزار هنگام تحویل متداول است و برای فرار از EDR و سایر مکانیزمهای تشخیص استفاده میشود."
در نهایت، اسکریپت mi.sh دایرکتوریهای محلی را برای توکنهای دسترسی به AWS و Google Cloud جستجو کرده و هر یک را که پیدا کند، به یک گروه تلگرامی ارسال خواهد کرد. محققان Cado عمداً یک توکن AWS را روی سیستم هانیپات خود قرار دادند و مشاهده کردند که بلافاصله در تلاش برای دسترسی به حساب AWS مرتبط میباشد. بدافزار Qubitstrike همانند SSH عمل میکند و به کمک اسکریپت سعی میکند به تمام آدرس IPهای لیستشده در فایل میزبان SSH، در سیستم متصل شده و mi.sh را به آنها انتقال دهد.
با بررسی مخزن Codeberg که میزبان اسکریپت mi.sh بود، محققان اسکریپتها و بارهای اضافی از جمله یک جاگذاری به نام kdfs.py که به زبان پایتون نوشته شده بود را کشف کردند. پس از اجرا بر روی یک سیستم، مشخص شده که این جاگذاری به عنوان یک بات عمل میکند که به سرور و کانال Discord میپیوندد و منتظر دستورات است. همچنین از دانلود و آپلود فایلها از طریق قابلیت پیوست Discord پشتیبانی میکند. محققان میگویند: نام سرور مورد استفاده «NETShadow» و کانالی که بات اطلاعات را به آن ارسال میکند «victims» است. سرور همچنین کانال دیگری با عنوان «ssh» دارد. با این حال، بررسیها نشان داده که این کانال خالی بوده است. همه کانالها دقیقاً همزمان در 2 سپتامبر 2023 ساخته شدند که نشان میدهد فرآیند ایجاد خودکار بوده است. نام کاربری بات Qubitstrike است و به همین دلیل این نام برای این بدافزار انتخاب شده است.
محققان Cado حدس می زنند که kdfs.py ممکن است ابتدا در برخی از سیستمها اجرا شود و سپس برای استقرار mi.sh مورد استفاده قرار گیرد. با این حال، در سیستم هانیپات آنها، ربات kdfs.py هرگز مستقر نشد. در حالی که هدف نهایی حمله، استقرار یک ماینر XMRig بر روی سیستمهای در معرض خطر بود، بدیهی است که دسترسی مهاجمان محدود به این هدف نبوده و میتوانند به فعالیتهای دیگر نیز بپردازند.
محصولات تحت تأثیر
نوتبوک Jupyter یک پلت فرم محاسباتی تعاملی مبتنی بر وب است که از بیش از 40 زبان برنامهنویسی پشتیبانی میکند و جهت تجسم دادهها، یادگیری ماشین، تبدیل دادهها، شبیهسازی عددی، مدلسازی آماری و مدیریت خروجیهای محاسباتی مختلف استفاده میشود. این برنامه، یک برنامه منبع باز است که میتواند بر روی سرورها مستقر شده و از سال گذشته به عنوان نقطه ورودی برای سایر کمپینهای حمله مبتنی بر ابر استفاده شده است؛ زیرا ویژگیهای قدرتمندی از جمله اجرای دستور را در معرض نمایش قرار میدهد.
مشکل اصلی در نوتبوک Jupyter تنها یک آسیبپذیری نیست، بلکه ماهیت خود سرویس است؛ یک پلتفرم منبع باز و مشترک که کاربران در آن تمایل دارند کد را در یک محیط بسیار قابل تنظیم و ماژولار به اشتراک بگذارند و اجرا کنند. بسیاری از جذابیتهای استفاده از نوتبوکهای Jupyter، نمونهسازی نمونههای کوچک کد، یا اجرای نسخههای سبک وزن از الگوریتمهای خاص است.
طبق تحقیقات اخیر، مشخص شده است که اگر دسترسی در نوتبوکJupyter به درستی محدود نشده باشد، امکان ایجاد یک بردار دسترسی اولیه جدید از طریق آن وجود دارد که هکرها میتوانند از آن برای به خطر انداختن محیطهای ابری سازمانی استفاده کنند. در نمونه اخیر، در ماه سپتامبر 2023، یک هکر با IP تونس، با استفاده از این ابزار و تنها در 195 ثانیه، تلاش دوگانهای برای رمزنگاری و به خطر انداختن امنیت فضای ابری انجام داده است و امنیت هانیپات ابری Cado را به خطر انداخت.
تمامی سرویسهای ارائهدهنده خدمات نوتبوک Jupyter، بویژه ارائهدهندگان سرویسهای ابری میتوانند تحت تاثیر این حمله قرار بگیرند. به عنوان نمونه، خدمات وب آمازون و Google Cloud به کاربران اجازه میدهند تا نوتبوک Jupyter را به عنوان یک سرویس مدیریت شده اجرا کنند و یا کاربران میتوانند آن را روی یک نمونه ماشین مجازی استاندارد اجرا کنند. بعلاوه سرویس Microsoft Azure Cosmos DB دارای ویژگی Cosmos DB Jupyter Notebook است.
توصیههای امنیتی
محققان شرکت Cado Security از کاربران نوتبوک Jupyter میخواهد تا امنیت سرورهای Jupyter را بررسی کنند و توجه ویژهای به دیواره آتش و پیکربندیهای گروه امنیتی داشته باشند. در حالت ایدهآل، نوتبوکها نباید در معرض اینترنت عمومی قرار گیرند و اگر قرار است در معرض دید باشند، باید علاوه بر محدود کردن دسترسی به مجموعهای از IPهای مجاز، مطمئن شد که فرایند احراز هویت برای دسترسی استفادهکنندگان فعال شده باشد.
منابع خبر:
[1]https://www.csoonline.com/article/656288/cryptojacking-campaign-qubitstrike-targets-exposed-jupyter…
[2] https://www.darkreading.com/cloud/jupyter-notebook-cloud-credential-theft
- 92