Atuantes maliciosos estão explorando configurações incorretas em JupyterLab e Jupyter Notebooks para realizar "stream ripping" (cópia ilegal de transmissões ao vivo) e possibilitar a pirataria de eventos esportivos ao vivo usando ferramentas de captura de transmissões.
Os ataques envolvem a tomada de controle de Jupyter Notebooks não autenticados para estabelecer acesso inicial e realizar uma série de ações projetadas para facilitar a transmissão ilegal ao vivo de eventos esportivos, disse Aqua em um relatório compartilhado.
A campanha de pirataria secreta dentro de ambientes interativos amplamente utilizados para aplicações de ciência de dados foi descoberta pela empresa de segurança em nuvem após um ataque aos seus honeypots.
"Primeiro, o atacante atualizou o servidor, depois baixou a ferramenta FFmpeg," disse Assaf Morag, diretor de inteligência de ameaças na empresa de segurança em nuvem Aqua.
Esta ação por si só não é um indicador suficientemente forte para que ferramentas de segurança marquem a atividade como maliciosa.
Em seguida, o atacante executou o FFmpeg para capturar transmissões ao vivo de eventos esportivos e redirecioná-las para o seu servidor.
Resumidamente, o objetivo final da campanha é baixar o FFmpeg a partir do MediaFire e usá-lo para gravar feeds de eventos esportivos ao vivo da rede Qatari beIN Sports e duplicar a transmissão em seu servidor ilegal via ustream[.]tv.
Isso não apenas facilita o abuso do servidor Jupyter Notebook comprometido e seus recursos, servindo como intermediário, mas também permite que os atores de ameaça lucrem com receita de publicidade transmitindo ilicitamente as transmissões ao vivo.
Não está claro quem está por trás da campanha, embora haja indicações de que poderiam ser de origem árabe, devido a um dos endereços IP usados (41.200.191[.]23).
"Contudo, é crucial lembrar que os atacantes ganharam acesso a um servidor destinado à análise de dados, o que poderia ter sérias consequências para as operações de qualquer organização," disse Morag.
Os riscos potenciais incluem negação de serviço, manipulação de dados, roubo de dados, corrupção de processos de IA e ML, movimento lateral para ambientes mais críticos e, no pior cenário, danos financeiros e reputacionais substanciais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...