Infectan servidores internos de Tesla para minar criptomonedas
Los hackers han entrado en los servidores en la nube de Tesla utilizados por los ingenieros de la compañía y han instalado un malware que mina criptomonedas.
El incidente tuvo lugar el año pasado cuando los piratas informáticos obtuvieron acceso al servidor Kubernetes de Tesla, una aplicación de código abierto utilizada por grandes compañías para administrar la API y la infraestructura del servidor desplegada en los proveedores de alojamiento en la nube.
Los piratas informáticos vulnerarón una de las consolas Kubernetes de Tesla
La empresa de seguridad en la nube RedLock, cuyos expertos descubrieron el servidor pirateado, dijerón que los piratas informáticos encontraron un "pod" dentro de la consola de Kubernetes que almacenaba las credenciales de inicio de sesión para una de las infraestructuras en la nube AWS de Tesla.
RedLock dice que los contenedores de AWS parecían haber estado almacenando datos confidenciales como la telemetría, pero un portavoz de Tesla Motors dijo en un correo electrónico que los datos provenían de "coches de pruebas de ingeniería utilizados internamente".
Si bien no hay evidencia de que los intrusos hayan robado datos, sí instalaron una aplicación que mina criptomonedas y que utilizaba los enormes recursos computacionales de los servidores AWS de Tesla para extraer la criptomoneda Monero.
Los ingenieros olvidaron establecer una contraseña para la consola de Kubernetes
Un portavoz de Tesla le dijo que la compañía recibió una notificación sobre el incidente y aseguró el servidor de inmediato. RedLock dijo hoy que el incidente tuvo lugar porque los ingenieros de Tesla olvidaron proteger la consola de Kubernetes con una contraseña de acceso.
"Mantenemos un programa de bug bounty para fomentar este tipo de investigación, y abordamos esta vulnerabilidad a las pocas horas de conocerla", dijo Tesla. "El impacto parece estar limitado a los autos de prueba de ingeniería utilizados internamente, y nuestra investigación inicial no encontró indicios de que la seguridad del cliente o la seguridad del vehículo se viera comprometida de ninguna manera".
Está muy claro que estos hackers sabían lo que estaban haciendo, ya que configuraron un grupo de minería privada para usar para sus operaciones mineras ilegales solamente, ocultaron el grupo de minería detrás de CloudFlare, configuraron el software de minería para escuchar los comandos en un puerto no estándar, y acelerón el software de minería para usar solo una pequeña porción de los recursos de la CPU AWS de Tesla. Todos estos cambios de configuración se realizaron para evitar la detección.
Debido a que usaron un grupo de minería personalizado, no está claro cuánto dinero ganó este grupo de hackers.
Sin embargo, estas no fueron las únicas consolas Kubernetes que RedLock encontró expuestas en línea el año pasado sin una contraseña. La compañía dijo que encontró servidores similares pertenecientes a Aviva, una compañía multinacional de seguros británica, y Gemalto, el fabricante de tarjetas SIM más grande del mundo.