Na wstępie powiedzmy sobie od razu - był to atak hakerski, firma zarządzana przez Elona Muska o całym procederze nie miała pojęcia do czasu informacji ze strony startupu zajmującego się bezpieczeństwem w sieci. RedLock, bo tak nazywa się startup o którym mowa, pierwszy natrafił na ślady potencjalnego włamania do firmowej chmury Tesli (TSLA  ) dostarczonej przez Amazon Web Services (AMZN  ). Kto więc zawinił?

Gaurav Kumar - założyciel i CTO firmy RedLock wskazuje, iż w tego typu przypadkach (w przeszłości miały już miejsce podobne ataki, o czym później) wina niezwykle rzadko stoi po stronie dostawcy chmury, w tym przypadku po stronie Amazon Web Services. Szybką drogą dedukcji do wyboru pozostaje nam więc tylko Tesla. Okazuje się, że dostęp do konsoli Kubernetes nie był chroniony żadnym hasłem! Czym jest Kubernetes? Jest to zaprojektowany przez Google (GOOGL  ) system służący do optymalizacji pracy aplikacji w chmurze. Dostanie się do Kubernetes stanowiło podstawę wykorzystania chmury do kopania kryptowalut. Wydaje mi się, że dla osoby średnio zaznajomionej z tematyką hackingu było to zadanie dziecinnie łatwe. Co na to Tesla? Firma stoi na stanowisku, że nie dostrzegła żadnego zagrożenia w kontekście ochrony danych klientów, czy też ich samochodów. Problem miał dotknąć jedynie miejsca, gdzie przechowywane są dane wewnętrzne dotyczące testowych samochodów. Osobiście wydaje mi się mało prawdopodobne, aby hakerom chodziło o wykradnięcie jakichkolwiek danych. Dlaczego? Kryptowaluty to, jak wiemy, bardzo opłacalny (na tą chwilę) biznes, kopanie kryptowalut było dużo bardziej opłacalne aniżeli wykradanie znajdujących się na serwerach danych. Drugą kwestią jest sposób, w jaki działali hakerzy - atak ewidentnie nastawiony był na działanie długoterminowe - kopanie Monero, bo taka waluta była "wydobywana" za pomocą Tesli, trwało najprawdopodobniej nawet kilka miesięcy.

© Jakob Härter / Flickr.com

Problem został wyeliminowany w ciągu kilku godzin od wykrycia usterki, warto jednak napisać kilka słów o sposobie działania hakerów. Nie korzystali oni z tzw. pul wydobywczych w normalnym rozumieniu komputerów publicznych (bardziej zainteresowanych odsyłam do wyszukania informacji dotyczących kopania kryptowalut). Zainstalowano specjalny skrypt utrudniający analizę, czy też wykrycie zagrożenia. Ponadto wykorzystano rozwiązanie Cloudflare, tak aby ukryć adres IP puli wydobywczej. Zadbano również, aby wykorzystanie mocy obliczeniowej procesora było na tyle niskie, aby nie wzbudzało podejrzeń, ale na tyle wysokie, aby cały proceder był ciągle opłacalny. Za wykrycie błędu Tesla wypłaciła firmie Redlock nieco ponad 3 tys. dolarów w ramach jednego z firmowych programów. Do waszej oceny pozostawiam, czy było to dużo, czy też mało.

RedLock szacuje, że 8 procent organizacji będzie miało do czynienia z atakami mającymi na celu zainstalowanie złośliwego oprogramowania służącego do kopania kryptowalut. Niepokojący jest fakt, że według amerykańskiej firmy, z powodu nieefektywnego monitorowania sieci większość z tych ataków pozostanie niewykryta. Wspomniałem wcześniej, iż podobne zdarzenia miały już miejsce w przeszłości. Jakie firmy musiały się zmagać z podobnymi problemami? Był to m.in. międzynarodowy gigant branży ubezpieczeniowej Aviva oraz Gemalto, holenderskie przedsiębiorstwo będące największym na świecie producentem kart SIM. Problem dotykał również organizacje rządowe. W przeszłości hakerzy wprowadzili zmienioną wersję popularnej wtyczki browsealoud na wiele rządowych stron internetowych w Wielkiej Brytanii, Stanach Zjednoczonych i Australii. Zmieniona wersja zainfekowała strony rządowe kodem Coinhive, który służy do kopania wspomnianego już wcześniej Monero.