安全公司RedLock 发现电动车厂商特斯拉(Tesla)的AWS S3线上数据库遭骇被植入挖矿程序,并且可能窃取了汽车资料。
打开网易新闻 查看更多图片
黑客先是入侵特斯拉未以密码保护的容器服务Kubernetes Console,然后由一个Kubernetes pod取得Amazon Web Service (AWS)的存取凭证,包括存有汽车遥测资料(telemetry)等隐私资料的Amazon S3 ( Simple Storage Service)存储贮体的登入帐密。
给课不仅导致车辆资料曝险,还从特斯拉一个Kubernetes pod中植入挖矿程序。研究人员指出,这个挖矿行为很特殊的是,它用的不是常见的矿池,而是未登录或半公开的端,使一般以IP或网域为基础的威胁侦测服务很难侦测到恶意活动。骇客还将矿池伺服器真实的IP位址隐藏在免费的内容递送网路(CDN)CloudFlare后,它用的是注册CloudFlare后拿到的暂时性新IP,进而提高IP侦测法的难度。
此外,这个挖矿软体听取的不是一般常用的传输埠,使得靠传输埠流量侦测的方法也很难侦测此一软体活动。最后,研究人员发现特斯拉的Kubernetes CPU耗用率并不很高,显示骇客是刻意低调以避人耳目。
特斯拉在获得研究团队通报后已经将该资料漏洞关闭,移除挖矿程式。特斯拉对Ars Technica表示,这项研究是该公司抓漏大赛的涵盖项目,目前应只有内部测试的车辆受到影响,初步调查并没有用户隐私和车辆安全资料被窃取。
在此之前,RedLock也发现全球最大智慧卡业者金雅拓(Gemalto)及保险业者Aviva的AWS用户遭利用来挖比特币。
为防止自家网站遭人当成挖矿机,研究人员呼吁企业用户应时时监控环境中是否有异常的组态、网路流量及可疑的用户登入行为。