知識星球
隨著數字貨幣的水漲船高,別有用心的攻擊者開始將目光投向了這裡。上週的時候,就有一名 24 歲的芝加哥男子因涉嫌從僱主那竊取了價值 200 萬美元的比特幣和萊特幣而被捕。除了傳統的數字盜竊犯罪,加密貨幣的狂熱還催生了更為龐大的隱性劫持事件,比如在使用者不知情的情況下、利用其計算資源來挖礦。儘管大多數隱性劫持算力的受害者是普通 PC 使用者,大型雲基礎設施也難逃一劫。
(圖-1:被曝光的特斯拉 AWS 憑證)
來自 RedLock 的一份新研究報告指出,知名電動汽車企業特斯拉的公共雲基礎設施,也曾被駭客用於加密貨幣的挖礦運算。
駭客滲透進入了缺乏密碼保護的特斯拉 Kubernetes 控制檯,只需在一個節點得逞,特斯拉位於 AWS 環境中的雲訪問許可權就被暴露了,其中就包括了 S3 全家桶(含遙測資料等敏感資訊)。
(圖-2:在特斯拉 Kubernetes 節點上執行的挖礦指令碼)
需要指出的是,為了自己的非法活動不被察覺,其使用了多種方法來隱匿。比如挖礦軟體可以很好地優調,以保持 CPU 的使用率處於正常範圍內。
(圖-3:RedLock 比特幣挖礦流量檢測)
萬幸的是,RedLock 立即將問題彙報給了特斯拉,後者亦及時地實施了修複。
(圖-4:RedLock 異常行為檢測)
特斯拉在致外媒 Engadget 的一份宣告中稱:
我司有一個漏洞獎賞計劃來鼓勵這種型別的研究,在數小時內瞭解並修複了這個問題。
其影響似乎僅限於內部使用的工程測試車型,初步調查未發現有任何客戶隱私或車輛安全受到了影響。
*來源:cnBeta.COM
更多資訊
◈ AV-TEST評選2018年1月Android平臺最佳防病毒軟體
http://t.cn/REhXTcb
◈ 朝鮮駭客組織將攻擊標的擴大到世界各地
http://t.cn/REhXTHq
◈ 醫生警告稱醫療植入物可能成為駭客未來的標的
http://t.cn/REhXHfq
◈ Google公佈一個uTorrent的安全漏洞 官方釋出了一個無用補丁
http://t.cn/REhXHkv
(資訊來源於網路,安華金和蒐集整理)
