Kubernetes unter Beschuss: TeamPCP löscht Cluster mit Iran-Wiper
Lesezeit: 6 Min.
Eine neue Angriffswelle auf Cloud-Infrastrukturen sorgt für Alarm: Die Hackergruppe TeamPCP zielt auf Kubernetes-Cluster und setzt dabei ein Wiper-Skript ein, das Systeme löscht, sobald es Konfigurationen erkennt, die auf den Iran hindeuten. Für Unternehmen bedeutet das: Nicht nur Daten sind in Gefahr, sondern ganze Produktionsumgebungen.
Was ist passiert? Wiper-Malware mit Länderschalter
Nach aktuellen Berichten setzt TeamPCP auf ein bösartiges Skript, das Kubernetes-Umgebungen kompromittiert und alle verbundenen Maschinen löscht, wenn es Systeme vorfindet, die auf den Iran konfiguriert sind – etwa über Sprache, Regionseinstellungen oder andere Umgebungsmerkmale. Anders als Ransomware zielen Wiper-Angriffe nicht auf Erpressung, sondern auf Zerstörung ab. Der unmittelbare Schaden: Datenverlust, Ausfallzeiten und teure Wiederherstellungsmaßnahmen.
Für Sicherheitsverantwortliche ist das doppelt brisant. Zum einen zeigt es, wie schnell Cloud-native Workloads ins Fadenkreuz politisch oder geopolitisch motivierter Akteure geraten. Zum anderen unterstreicht es, dass Angreifer Kubernetes-spezifische Schwachstellen – etwa schwache Authentifizierung, offene Schnittstellen oder falsch konfigurierte Berechtigungen (RBAC) – gezielt ausnutzen.
Warum Kubernetes ein attraktives Ziel ist
Kubernetes ist heute das Betriebssystem der Cloud – von CI/CD-Pipelines bis zu geschäftskritischen Microservices. Genau das macht es für Angreifer so attraktiv:
- Hohe Privilegien: Kompromittierte Service-Accounts oder übermäßig weit gefasste RBAC-Rollen erlauben es, Cluster-weit Pods oder DaemonSets auszurollen – ideal für Wiper und Kryptominer.
- Exponierte Komponenten: Offen erreichbare API-Server, Dashboards oder Kubelet-Endpunkte sind häufige Einfallstore.
- Supply-Chain-Risiken: Unsichere Container-Images, fehlende Signaturen und schwache Policies in der CI/CD-Pipeline öffnen Zero-Day-Exploits und Dependency Confusion Tür und Tor.
- Bewegliche Ziele: Dynamische, kurzlebige Pods erschweren forensische Analysen und Incident Response.
Im Unterschied zu klassischen Ransomware-Kampagnen fehlt bei Wipern oft die „Verhandlungsebene“. Das Risiko verlagert sich von Lösegeldzahlungen zu Betriebsunterbrechung, Compliance-Verstößen und Reputationsschäden. Wer Container-Sicherheit stiefmütterlich behandelt, riskiert im Ernstfall den Totalschaden.
Angriffsmuster: Was Sicherheits- und Ops-Teams jetzt beobachten sollten
Auch wenn Details einzelner Kampagnen variieren, wiederholen sich typische Taktiken (TTPs), die du in deiner Threat Detection priorisieren solltest:
Typische Einstiegsvektoren
- Schwache oder geleakte Zugangsdaten für API-Server, Registries oder Git-Repos (Credential Stuffing, Phishing).
- Offene Admin-Oberflächen (z. B. ungeschützte Dashboards) und falsch konfigurierte Ingress/Services.
- Ungepatchte Komponenten im Control-Plane- oder Worker-Stack; Ausnutzung bekannter CVEs und gelegentlich Zero-Days.
Laterale Bewegung und Persistenz
- Erstellung von DaemonSets, CronJobs oder privilegierten Pods zur clusterweiten Ausführung.
- Missbrauch von HostPath, privileged oder CAP_SYS_ADMIN-Capabilities.
- Manipulation von ImagePullSecrets oder Mutating Admission Webhooks, um bösartige Images einzuschleusen.
Wiper-Verhalten
- Prüfung von Umgebungsvariablen, Locale-/Zeitzonen-Infos oder anderen Konfigurationsmerkmalen als Schalter für die Zerstörung.
- Löschen oder Überschreiben von PersistentVolumes, Entfernen von Deployments/Namespaces, Stoppen von Knotenprozessen.
Hinweis: Ergänze deine Threat Intelligence laufend um neue IoCs und TTPs. Ein interner Leitfaden mit Playbooks beschleunigt die Reaktion. Mehr dazu findest du in unserem Beitrag zu Zero-Day-Trends und im Kubernetes-Hardening-Guide.
Business-Risiken, Compliance und Haftung
Ein erfolgreicher Wiper-Angriff trifft nicht nur Technik, sondern auch Bilanz und Recht:
- Ausfallkosten: Unterbrechung von Services, SLA-Verstöße, Vertragsstrafen.
- Compliance: Mögliche Meldepflichten nach DSGVO/NIS2; Audit-Feststellungen wegen fehlender Backups, Segmentierung, Logging.
- Lieferkette: Kaskadierende Effekte auf Partner und Kunden durch Abhängigkeiten in CI/CD, Artefakt-Repositories und APIs.
Vorstände und CISOs sollten deshalb Resilienz und Wiederanlauffähigkeit (Business Continuity, Disaster Recovery) genauso priorisieren wie Prävention. Security Awareness im Team – von Dev bis Ops – bleibt ein zentraler Baustein. Siehe auch unsere Awareness-Trainings und Phishing-Simulationen.
So schützt du deine Kubernetes-Umgebung – konkrete Maßnahmen
1) Angriffsfläche minimieren
- RBAC härten: Prinzip der geringsten Rechte; Service-Accounts binden, Tokens rotieren, kubectl exec einschränken.
- Netzwerksegmentierung: NetworkPolicies durchsetzen; egress/ingress strikt regeln; Kontrolle von East-West-Traffic.
- Oberflächen schließen: API-Server, Dashboards und Kubelet nicht öffentlich exponieren; mTLS, OIDC und IP-Filter nutzen.
2) Supply Chain absichern
- Image-Hygiene: Nur signierte Images (Sigstore/Cosign), regelmäßiges Scanning, keine :latest-Tags, minimale Base-Images.
- Policy Enforcement: Admission Controller (OPA/Gatekeeper, Kyverno) für verbotene Capabilities, Root-Verbot, HostPath-Blockade.
- SBOM & Patch-Management: Abhängigkeiten inventarisieren, CVE-Fenster schließen, CI/CD mit Secrets-Scanning härten.
3) Erkennung und Reaktion
- Audit-Logs zentralisieren: Kubernetes-Audit, CloudTrail/Activity-Logs, Registry-Events in SIEM/XDR integrieren.
- Runtime-Schutz: Falco/Cilium Tetragon für Syscall- bzw. eBPF-basierte Detection gegen ungewöhnliche Pod-/Node-Aktivitäten.
- Notfall-Playbooks: Isolieren von Namespaces, Sperren kompromittierter Credentials, schnelle Skalierung aus golden images.
4) Resilienz erhöhen
- Immutable Backups: Versionierte, offline/unveränderliche Snapshots von PersistentVolumes (z. B. via CSI-Snapshots).
- Mehrzonen-Strategie: Workloads über Zonen/Regionen verteilen; Wiederanlauf testen (chaos engineering).
- Secret-Management: KMS-gestützt, verschlüsselt im etcd, keine Klartext-Secrets in Git/CI.
Tipp: Dokumentiere diese Maßnahmen in deinem Sicherheitskonzept und verknüpfe sie mit messbaren Kontrollen. Eine Roadmap mit 30/60/90-Tagen hilft bei der Umsetzung – von Quick Wins (RBAC, Policies) bis zu langfristigen Programmen (Zero Trust, Secure SDLC).
Mini-Fallstudie: Wie ein Wiper den Betrieb lahmlegte
Ein mittelständischer SaaS-Anbieter bemerkte plötzliche Pod-Restarts und Fehlermeldungen in Storage-Volumes. Ursache: Ein ungeschütztes Admin-Dashboard erlaubte das Anlegen eines privilegierten DaemonSets. Der Angreifer rollte ein Skript aus, das Konfigurationswerte prüfte und anschließend Volumes löschte. Erst durch ein getestetes DR-Playbook mit unveränderlichen Backups gelang die Wiederherstellung binnen Stunden – trotzdem verursachte der Vorfall SLA-Verstöße und Kündigungen.
Pro & Contra: Agentbasierte vs. agentlose Container-Security
Pro (agentbasiert)
- Tiefe Runtime-Einblicke (Syscalls, Prozessbaum).
- Granulare Policies und präzise Erkennungen.
- Besser für Workloads mit hohem Risiko.
Contra (agentbasiert)
- Höherer Betriebsaufwand und Ressourcenverbrauch.
- Kompatibilitäts- und Pflegeaufwand bei Updates.
Pro (agentlos)
- Schnelle Einführung, geringere Komplexität.
- Breite Sicht über Cloud- und Registry-Ebene.
Contra (agentlos)
- Weniger tiefe Prozesssicht, mögliche Blind Spots.
- Stärker abhängig von Cloud-APIs und Logs.
Fazit: Jetzt handeln – bevor der Wiper zuschlägt
TeamPCP zeigt, wie gezielt und destruktiv Angriffe auf Kubernetes geworden sind. Wer heute Container-Workloads betreibt, kommt an Kubernetes Security, Security Awareness und geübter Incident Response nicht vorbei. Härte deine Cluster, sichere die Lieferkette, etabliere starke Detection & Response – und teste regelmäßig deine Wiederherstellung.
Starte mit unserem Kubernetes-Hardening-Leitfaden, vertiefe Wissen mit Awareness-Trainings und simuliere Angriffe mit Phishing-Simulationen. So reduzierst du das Risiko – selbst wenn der nächste Zero-Day vor der Tür steht.
