Ερευνητές κυβερνοασφάλειας έχουν εντοπίσει μια επίμονη και φιλόδοξη καμπάνια που στοχεύει καθημερινά χιλιάδες διακομιστές Docker με ένα Bitcoin (BTC) ανθρακωρύχος.
Σε μια έκθεση δημοσιεύθηκε Στις 3 Απριλίου, η Aqua Security εξέδωσε συναγερμό για την επίθεση, η οποία φαινομενικά «συνεχίζεται εδώ και μήνες, με χιλιάδες απόπειρες να πραγματοποιούνται σχεδόν σε καθημερινή βάση». Οι ερευνητές προειδοποιούν:
«Αυτοί είναι οι υψηλότεροι αριθμοί που έχουμε δει εδώ και αρκετό καιρό, ξεπερνώντας κατά πολύ αυτό που έχουμε δει μέχρι σήμερα».
Τέτοιο εύρος και φιλοδοξία δείχνουν ότι η παράνομη εκστρατεία εξόρυξης Bitcoin είναι απίθανο να είναι «μια αυτοσχέδια προσπάθεια», καθώς οι παράγοντες πίσω από αυτήν πρέπει να βασίζονται σε σημαντικούς πόρους και υποδομές.
Τόμοι επιθέσεων κακόβουλου λογισμικού Kinsing, Δεκ. 2019-Μάρτιος 2020. Πηγή: Blog Aqua Security
Χρησιμοποιώντας τα εργαλεία ανάλυσης ιών, η Aqua Security έχει αναγνωρίσει το κακόβουλο λογισμικό ως πράκτορα Linux που βασίζεται στο Golang, γνωστό ως Kinsing. Το κακόβουλο λογισμικό διαδίδεται με την εκμετάλλευση εσφαλμένων διαμορφώσεων στις θύρες API του Docker. Εκτελεί ένα κοντέινερ Ubuntu, το οποίο κατεβάζει το Kinsing και στη συνέχεια επιχειρεί να διαδώσει το κακόβουλο λογισμικό σε άλλα κοντέινερ και κεντρικούς υπολογιστές.
Ο τελικός στόχος της καμπάνιας - που επιτυγχάνεται πρώτα με την εκμετάλλευση της ανοιχτής θύρας και στη συνέχεια με μια σειρά από τακτικές αποφυγής - είναι η ανάπτυξη ενός crypto miner στον παραβιασμένο κεντρικό υπολογιστή, λένε οι ερευνητές.
Γράφημα που δείχνει την πλήρη ροή μιας επίθεσης Kinsing. Πηγή: Blog Aqua Security
Οι ομάδες ασφαλείας πρέπει να βελτιώσουν το παιχνίδι τους, λέει ο Aqua
Η μελέτη της Aqua παρέχει λεπτομερή εικόνα για τα στοιχεία της καμπάνιας κακόβουλου λογισμικού, η οποία ξεχωρίζει ως ισχυρό παράδειγμα αυτού που η εταιρεία ισχυρίζεται ότι είναι «η αυξανόμενη απειλή για τα εγγενή περιβάλλοντα του cloud».
Οι επιτιθέμενοι αναβαθμίζουν το παιχνίδι τους για να εξαπολύσουν όλο και πιο εξελιγμένες και φιλόδοξες επιθέσεις, σημειώνουν οι ερευνητές. Σε απάντηση, οι ομάδες ασφάλειας επιχειρήσεων πρέπει να αναπτύξουν μια πιο ισχυρή στρατηγική για τον μετριασμό αυτών των νέων κινδύνων.
Μεταξύ των συστάσεών τους, η Aqua προτείνει οι ομάδες να προσδιορίζουν όλους τους πόρους cloud και να τους ομαδοποιούν σε μια λογική δομή, να επανεξετάζουν τις πολιτικές εξουσιοδότησης και ελέγχου ταυτότητας και να προσαρμόζουν τις βασικές πολιτικές ασφαλείας σύμφωνα με την αρχή του «λιγότερου προνομίου».
Οι ομάδες θα πρέπει επίσης να διερευνήσουν τα αρχεία καταγραφής για να εντοπίσουν τις ενέργειες των χρηστών που καταγράφονται ως ανωμαλίες, καθώς και να εφαρμόσουν εργαλεία ασφάλειας cloud για να ενισχύσουν τη στρατηγική τους.
Αυξανόμενη συνειδητοποίηση
Τον περασμένο μήνα, η startup unicorn Acronis με έδρα τη Σιγκαπούρη δημοσιεύθηκε τα αποτελέσματα της τελευταίας έρευνας για την ασφάλεια στον κυβερνοχώρο. Αποκάλυψε ότι το 86% των επαγγελματιών πληροφορικής ανησυχεί για το cryptojacking — τον βιομηχανικό όρο για την πρακτική της χρήσης της επεξεργαστικής ισχύος ενός υπολογιστή για ορυχείο για κρυπτονομίσματα χωρίς τη συγκατάθεση ή τη γνώση του ιδιοκτήτη.