Cybersikkerhedsforskere har identificeret en vedvarende og ambitiøs kampagne, der retter sig mod tusindvis af Docker-servere dagligt med en Bitcoin (BTC) minearbejder.
I en rapport offentliggjort den 3. april udsendte Aqua Security en trusselsalarm over angrebet, som tilsyneladende "har stået på i flere måneder, med tusindvis af forsøg, der finder sted næsten på daglig basis." Forskerne advarer:
"Dette er de højeste tal, vi har set i nogen tid, langt over det, vi har været vidne til til dato."
Et sådant omfang og ambition indikerer, at den ulovlige Bitcoin-minekampagne næppe vil være "en improviseret bestræbelse", da aktørerne bag den skal stole på betydelige ressourcer og infrastruktur.
Kinsing malware-angrebsmængder, december 2019-marts 2020. Kilde: Aqua Security blog
Ved hjælp af sine virusanalyseværktøjer har Aqua Security identificeret malwaren som en Golang-baseret Linux-agent, kendt som Kinsing. Malwaren forplanter sig ved at udnytte fejlkonfigurationer i Docker API-porte. Den kører en Ubuntu-container, som downloader Kinsing og derefter forsøger at sprede malwaren til yderligere containere og værter.
Kampagnens endelige mål - opnået ved først at udnytte den åbne havn og derefter gennemføre med en række undvigelsestaktikker - er at indsætte en kryptominer på den kompromitterede vært, siger forskerne.
Infografik, der viser det fulde flow af et Kinsing-angreb. Kilde: Aqua Security blog
Sikkerhedshold skal øge deres spil, siger Aqua
Aquas undersøgelse giver detaljeret indsigt i komponenterne i malware-kampagnen, der skiller sig ud som et stærkt eksempel på, hvad firmaet hævder er "den voksende trussel mod cloud-native miljøer."
Angribere øger deres spil for at udføre stadig mere sofistikerede og ambitiøse angreb, bemærker forskerne. Som svar skal virksomhedens sikkerhedsteam udvikle en mere robust strategi for at afbøde disse nye risici.
Blandt deres anbefalinger foreslår Aqua, at teams identificerer alle cloud-ressourcer og grupperer dem i en logisk struktur, gennemgår deres autorisations- og autentificeringspolitikker og justerer grundlæggende sikkerhedspolitikker i henhold til et princip om "mindst privilegium".
Teams bør også undersøge logfiler for at finde brugerhandlinger, der registreres som uregelmæssigheder, samt implementere cloud-sikkerhedsværktøjer for at styrke deres strategi.
Øget bevidsthed
Sidste måned startede den Singapore-baserede enhjørning Acronis offentliggjort resultaterne af den seneste cybersikkerhedsundersøgelse. Det afslørede, at 86 % af it-professionelle er bekymrede over cryptojacking — industribetegnelsen for praksis med at bruge en computers processorkraft til at mine for kryptovalutaer uden ejerens samtykke eller viden.