ROMA – A marzo 2021, il team Unit 42 di Palo Alto Networks ha scoperto il primo malware che prende di mira i container Windows, sviluppo non sorprendente data l’adozione sempre più comune dei container e del cloud negli ultimi anni da parte delle aziende.
Il malware è stato nominato Siloscape (suona come silo escape) perché il suo obiettivo primario è quello di sfuggire al container, cosa possibile in Windows principalmente facendo riferimento a un silo server.
Siloscape è un malware che attacca i cluster Kubernetes attraverso container Windows: il suo scopo principale è di aprire una backdoor nei cluster Kubernetes non configurati correttamente, in modo da avviare container malevoli.
Compromettere un intero cluster è molto più grave rispetto a un singolo container, poiché un cluster potrebbe eseguire più applicazioni cloud, mentre un singolo container di solito esegue una sola applicazione cloud. Per esempio, un hacker potrebbe essere in grado di rubare informazioni critiche come nomi utente e password, file riservati di un’organizzazione o anche interi database ospitati nel cluster. Una simile azione potrebbe veicolare anche un attacco ransomware, prendendo in ostaggio i file dell’azienda.
Inoltre, con le organizzazioni che si spostano gradualmente verso il cloud, in molti usano i cluster Kubernetes come ambienti di sviluppo e test, e una loro violazione potrebbe portare a devastanti attacchi alla supply chain del software.
Siloscape utilizza il proxy Tor e un dominio .onion per connettersi anonimamente al suo server di comando e controllo (C2). Unit 42 di Palo Alto Networks è riuscita a ottenere l’accesso a questo server, identificando 23 vittime attive di Siloscape, con il server utilizzato per ospitare 313 utenti in totale. Questo implica che Siloscape era solo una piccola parte di una campagna più ampia, attiva da più di un anno.