Les malwares qui visent le cryptominage sont toujours en tête des menaces. Plus de la moitié des attaques exploitent des portes dérobées et des vers numériques. Nouveauté, les pirates s’en prennent désormais aux environnements d’intégration de déploiement CI/CD et à Kubernetes.
Dans le rapport 2022 sur les menaces ciblant le cloud natif, les chercheurs du Team Nautilus d’Aqua Security, montrent une évolution marquée des méthodes cyber criminelles pointant les environnements cloud natifs. Le Team Nautilus dégage 5 tendances majeures.
Il s’agit d’abord de la persistance des malwares utilisant les backdoors (portes dérobées) soit 54% des attaques ainsi que de l’augmentation des worms (vers numériques) pour 51 % du total. Des codes malicieux plus évolués sont également observés tels que les rootkits, les exécutions d’attaques fileless (sans fichiers) ou ceux visant les modules de noyau rechargeables (kernel).
En second lieu, les pirates ont déporté leurs attaques contre Docker, l’outil d’empaquetage des applications dans les conteneurs, vers Kubernetes (19% des menaces). Ce dernier automatise le déploiement, la montée en charge et la mise en œuvre de conteneurs d'application sur des clusters de serveurs. Largement utilisé par les organisations de travail, Kubernetes n’offre pas de protection native contre les cyberattaques et doit être sécurisé.
Autre point, les attaques sur la supply-chain continuent de sévir. Une analyse de plus de 1 100 images de conteneurs téléchargées sur l'une des plus grandes communautés et bibliothèques d'images au monde en 2021, révèle que 13 % des images étaient liées à des applications potentiellement indésirables, telles que des cryptomineurs.
La vulnérabilité zero-day Log4j (framework Java de gestion de l’historique des programmes) est présente sur plus de 100 millions d’instances. Les chercheurs de Nautilus l’ont installée sur un honeypot (pot de miel) pour attirer les groupes pirates. Immédiatement, les attaques de botnets tels Muhstik ou Mirai ont commencé avec des fichiers chargés en mémoire ou via des exécutions de reverse shell
Enfin, Nautilus a noté que les pirates du TeamTNT qui avait annoncé l’arrêt de ses activités, continuait de sévir en infectant de nouvelles cibles.
Les mesures préventives à adopter
Les chercheurs de d’Aqua Security conseillent d’agir sur trois principaux axes.
Le premier est d’assurer la sécurité du runtime. L’augmentation du nombre de portes dérobées, vers et rootkits, montre clairement la nécessité de sécuriser la phase d’exécution des services et programmes. L’analyse des attaques sur les honeypots exploitant très vite les vulnérabilités plaide aussi pour une protection efficace du runtime des applications.
Le deuxième point de vigilance porte sur la sécurité de Kubernetes, devenu une porte d’entrée importante pour les attaques, notamment les modules spécifiques que sont les kuberlets et les serveurs d’API. La protection de l’interface de Kubernetes n’est pas à négliger.
En dernier lieu, le développement des applications doit être soigneusement effectué, en considérant le volet sécurité. Les vulnérabilités de Log4j, le framework Java de gestion des logs d’applications, largement répandu, nous montrent qu’il faut aussi investir dans des outils permettant d'obtenir une visibilité sur l'ensemble du cloud natif.