Cryptojacking a Tesla: sistemi senza password utilizzati per il mining di criptovalute

In data 20 febbraio, l'azienda di Cloud Security Intelligence (CSI) RedLock ha smascherato un nuovo caso di cryptojacking, questa volta ai danni del software container dell'Amazon Web Service (AWS) di Tesla.

Gli hacker sono riusciti ad ottenere le credenziali d'accesso dell'AWS di Tesla grazie ad un software container Kubernetes non protetto da password. I criminali hanno sfruttato questa falla nella sicurezza per il mining di criptovalute, ma non è ancora chiaro per quanto tempo.

Ad ottobre dello scorso anno, la squadra CSI di RedLock aveva già svelato un simile hack di AWS per il mining di Bitcoin (BTC) ai danni delle aziende Aviva e Gemalto. Queste compagnie, proprio come Tesla, non utilizzavano password per la propria console d'amministrazione.

L'attacco a Tesla è stato molto ben congeniato: non utilizzava infatti una mining pool conosciuta, ma ne sfruttava una creata appositamente per l'occazione, assieme ad un software per collegare lo script malevolo ad un indirizzo "non in elenco", rendendo particolarmente complessa l'identificazione di potenziali attività compromesse.

RedLock spiega che, per evitare di essere scoperti, gli hacker hanno mantenuto basso l'utilizzo delle CPU e nascosto l'indirizzo IP della mining pool grazie a CloudFlare, popolare rete per la distribuzione di contenuti.

Già lo scorso anno Tesla fece parlare di sé grazie ad un utilizzo decisamente inusuale della propria tecnologia per il mining di Bitcoin. A dicembre il possessore di un'automobile elettrica Tesla S dichiarò infatti di effettuare mining di Bitcoin sfruttando il supercharger del veicolo, piazzando il dispositivo di mining nel bagagliaio.

L'articolo sul blog di RedLock, intitolato "Lessons from the Cryptojacking Attack at Tesla", termina con una serie di suggerimenti indirizzati alle aziende, allo scopo di evitare che incidenti del genere si ripetano in futuro. La compagnia consiglia, tra le altre cose, di monitorare costantemente configurazioni, traffico della rete e potenziali comportamenti sospetti dei dipendenti.

E, aggiunge TechCruch, "perlomeno utilizzare una password".