Kyberturvallisuustutkijat ovat löytäneet jatkuvan ja kunnianhimoisen kampanjan, joka kohdistuu tuhansille Docker-palvelimille päivittäin Bitcoinin avulla (BTC) kaivosmies.
Raportissa julkaistu 3. huhtikuuta Aqua Security julkaisi uhkahälytyksen hyökkäyksestä, joka on näennäisesti jatkuvan kuukausien ajan tuhansien yritysten kanssa melkein päivittäin. Tutkijat varoittavat:
"Nämä ovat korkeimpia lukumääriä, joita olemme nähneet jonkin ajan kuluessa, ylittäen huomattavasti sen, mitä olemme nähneet tähän mennessä."
Tällainen laajuus ja kunnianhimo osoittavat, että laiton Bitcoinin kaivoskampanja ei todennäköisesti ole ”improvisoitua yritystä”, koska sen taustalla olevien toimijoiden on luotettava merkittäviin resursseihin ja infrastruktuuriin.
Haittaohjelmien hyökkäysten määrät, joulukuu 2019 - maaliskuu 2020. Lähde: Aqua Security -blogi
Virusanalyysityökalujensa avulla Aqua Security on tunnistanut haittaohjelman Golang-pohjaiseksi Linux-agentiksi, joka tunnetaan nimellä Kinsing. Haittaohjelma leviää hyödyntämällä väärää kokoonpanoa Docker API -porteissa. Se suorittaa Ubuntu-säilön, joka lataa Kinsingin ja yrittää sitten levittää haittaohjelman edelleen muihin säilöihin ja isäntiin.
Kampanjan lopputavoite - joka saavutetaan ensin hyödyntämällä avointa satamaa ja toteuttamalla sitten sarja kiertotaktiikoita - on sijoittaa salaustekniikan etsijä vaarannettuun isäntään, tutkijat sanovat.
Infografia, joka näyttää koko Kinsing-hyökkäyksen virtauksen. Lähde: Aqua Security -blogi
Turvajoukkueiden on parannettava peliäan, Aqua sanoo
Aquan tutkimus tarjoaa yksityiskohtaisen kuvan haittaohjelmakampanjan komponenteista, mikä on voimakas esimerkki yrityksen väitteestä "pilvien alkuperäisten ympäristöjen kasvava uhka".
Hyökkääjät pyrkivät lisäämään entistä kehittyneempiä ja kunnianhimoisempia hyökkäyksiä, tutkijat huomauttavat. Yrityksen turvallisuusryhmien on vastauksena kehitettävä vankempi strategia näiden uusien riskien vähentämiseksi.
Suositustensa joukossa Aqua ehdottaa, että joukkueet tunnistavat kaikki pilviresurssit ja ryhmittelevät ne loogiseen rakenteeseen, tarkistavat valtuutus- ja todennuskäytännöt ja mukauttavat perusturvakäytäntöjä vähiten etuoikeuden periaatteen mukaisesti.
Joukkueiden tulisi myös tutkia lokit löytääkseen poikkeamiksi rekisteröidyt käyttäjän toimet ja ottaa käyttöön pilviturvatyökalut strategian vahvistamiseksi.
Kasvava tietoisuus
Viime kuussa Singaporessa toimiva yksisarvinen startup Acronis julkaistu viimeisimmän tietoturvatutkimuksen tulokset. Se paljasti, että 86% IT-ammattilaisista on huolestunut salaustekniikasta - alan termi tietokoneen prosessointitehon käyttämiselle minun kryptovaluutoille ilman omistajan suostumusta tai tietämystä.