Les chercheurs en cybersécurité ont identifié une campagne persistante et ambitieuse qui cible quotidiennement des milliers de serveurs Docker avec un Bitcoin (BTC) mineur.
Dans un rapport publié Le 3 avril, Aqua Security a émis une alerte de menace concernant l’attaque, qui « dure depuis des mois, avec des milliers de tentatives presque quotidiennes ». Les chercheurs préviennent :
« Ce sont les chiffres les plus élevés que nous ayons vus depuis un certain temps, dépassant de loin ce que nous avons vu jusqu’à présent. »
Une telle ampleur et une telle ambition indiquent qu’il est peu probable que la campagne d’extraction illicite de Bitcoin soit « une entreprise improvisée », car les acteurs qui la sous-tendent doivent s’appuyer sur des ressources et des infrastructures importantes.
Volumes d’attaques de logiciels malveillants Kinsing, décembre 2019-mars 2020. Source : Blogue Aqua Sécurité
Grâce à ses outils d'analyse de virus, Aqua Security a identifié le malware comme étant un agent Linux basé sur Golang, connu sous le nom de Kinsing. Le malware se propage en exploitant des erreurs de configuration dans les ports de l'API Docker. Il exécute un conteneur Ubuntu, qui télécharge Kinsing, puis tente de propager le logiciel malveillant vers d'autres conteneurs et hôtes.
L’objectif final de la campagne – atteint en exploitant d’abord le port ouvert, puis en appliquant une série de tactiques d’évasion – est de déployer un mineur de crypto sur l’hôte compromis, selon les chercheurs.
Infographie montrant le déroulement complet d'une attaque Kinsing. Source: Blogue Aqua Sécurité
Les équipes de sécurité doivent améliorer leur jeu, déclare Aqua
L’étude d’Aqua fournit un aperçu détaillé des composantes de la campagne de logiciels malveillants, qui constitue un exemple frappant de ce que l’entreprise prétend être « la menace croissante pour les environnements cloud natifs ».
Les attaquants améliorent leur jeu pour monter des attaques toujours plus sophistiquées et ambitieuses, notent les chercheurs. En réponse, les équipes de sécurité des entreprises doivent développer une stratégie plus robuste pour atténuer ces nouveaux risques.
Parmi leurs recommandations, Aqua propose aux équipes d'identifier toutes les ressources cloud et de les regrouper dans une structure logique, de revoir leurs politiques d'autorisation et d'authentification, et d'ajuster les politiques de sécurité de base selon un principe de « moindre privilège ».
Les équipes doivent également examiner les journaux pour localiser les actions des utilisateurs enregistrées comme des anomalies, ainsi que mettre en œuvre des outils de sécurité cloud pour renforcer leur stratégie.
Prise de conscience croissante
Le mois dernier, la startup licorne basée à Singapour, Acronis publié les résultats de sa dernière enquête sur la cybersécurité. Il a révélé que 86 % des professionnels de l’informatique sont préoccupés par le cryptojacking – le terme industriel désignant la pratique consistant à utiliser la puissance de traitement d’un ordinateur pour mine pour les crypto-monnaies sans le consentement ou la connaissance du propriétaire.