歡迎光臨
每天分享高質量文章

【每日安全資訊】特斯拉公共雲曾被駭客入侵併隱匿挖礦 漏洞已順利修複


隨著數字貨幣的水漲船高,別有用心的攻擊者開始將目光投向了這裡。上週的時候,就有一名 24 歲的芝加哥男子因涉嫌從僱主那竊取了價值 200 萬美元的比特幣和萊特幣而被捕。除了傳統的數字盜竊犯罪,加密貨幣的狂熱還催生了更為龐大的隱性劫持事件,比如在使用者不知情的情況下、利用其計算資源來挖礦。儘管大多數隱性劫持算力的受害者是普通 PC 使用者,大型雲基礎設施也難逃一劫。

(圖-1:被曝光的特斯拉 AWS 憑證)

來自 RedLock 的一份新研究報告指出,知名電動汽車企業特斯拉的公共雲基礎設施,也曾被駭客用於加密貨幣的挖礦運算。

駭客滲透進入了缺乏密碼保護的特斯拉 Kubernetes 控制檯,只需在一個節點得逞,特斯拉位於 AWS 環境中的雲訪問許可權就被暴露了,其中就包括了 S3 全家桶(含遙測資料等敏感資訊)。

(圖-2:在特斯拉 Kubernetes 節點上執行的挖礦指令碼)

需要指出的是,為了自己的非法活動不被察覺,其使用了多種方法來隱匿。比如挖礦軟體可以很好地優調,以保持 CPU 的使用率處於正常範圍內。

(圖-3:RedLock 比特幣挖礦流量檢測)

萬幸的是,RedLock 立即將問題彙報給了特斯拉,後者亦及時地實施了修複。

(圖-4:RedLock 異常行為檢測)

特斯拉在致外媒 Engadget 的一份宣告中稱:

我司有一個漏洞獎賞計劃來鼓勵這種型別的研究,在數小時內瞭解並修複了這個問題。

其影響似乎僅限於內部使用的工程測試車型,初步調查未發現有任何客戶隱私或車輛安全受到了影響。

*來源:cnBeta.COM

更多資訊

◈ AV-TEST評選2018年1月Android平臺最佳防病毒軟體

http://t.cn/REhXTcb

◈ 朝鮮駭客組織將攻擊標的擴大到世界各地

http://t.cn/REhXTHq

◈ 醫生警告稱醫療植入物可能成為駭客未來的標的

http://t.cn/REhXHfq

◈ Google公佈一個uTorrent的安全漏洞 官方釋出了一個無用補丁

http://t.cn/REhXHkv

(資訊來源於網路,安華金和蒐集整理)


贊(0)

分享創造快樂