A companhia de segurança RedLock, reportou na terça-feira, que os hackers tiveram acesso a informações sensíveis da Cloud da Tesla, e isso permitiu-lhes usar poder de processamento para minerar criptomoedas.
De acordo com a RedLock, os hackers infiltraram-se através de uma consola Kubernetes desprotegida, uma ferramenta usada para automatizar a forma como um utilizador implementa aplicações sobre containers (contentores). Os hackers conseguiram realizar a mineração via consola, utilizando o que o RedLock descreve como “uma técnica sofisticada de invasão” e que tornara a dificil deteção da atividade maliciosa, comparando-a com outros processos da mesma linha.
Ao contrário de outras estratégias já conhecidas, os atacantes não usaram uma API pública de mineração, como o Coinhive. Em vez disso, eles usaram um pool de mineração e ajustaram o script ao detalhe para ele se ligar a um ponto de extermidade não listado.
Segundo a RedLock, isso dificulta todos os procedimentos automaticos de deteção de atividades maliciosas, o que retarda a sua identificação.
Os atacantes também usaram a CloudFare para ofuscar o verdadeiro endereço de IP origem.
Além de usarem a consola do Kubernetes, os atacantes encontraram credenciais expostas num balde da Amazon Web Services S3 pertencente à Tesla. A RedLock diz que o servidor continha dados confidenciais, como a telemetria.
Num comunicado de imprensa, o CTO da RedLock e o chefe da CSI, Gaurav Kumar, pediram aos clientes de provedores de serviços de Cloud (como Tesla, usando o AWS) fazerem mais e melhor — é necessário monitorizar as infraestruturas de rede contra ameaças e atividades suspeitas.