A kiberbiztonsági kutatók egy kitartó és ambiciózus kampányt azonosítottak, amely naponta több ezer Docker szervert céloz meg Bitcoinnal (BTC) bányász.
Egy jelentésben közzétett április 3-án az Aqua Security fenyegetési riasztást adott ki a támadás miatt, amely látszólag „hónapok óta tart, és szinte naponta több ezer próbálkozás történik”. A kutatók figyelmeztetnek:
„Ezek a legmagasabb számok, amelyeket az elmúlt időszakban láttunk, és messze meghaladják azt, amit eddig tapasztaltunk.”
Az ilyen kiterjedés és ambíció azt jelzi, hogy az illegális Bitcoin-bányászati kampány nem valószínű, hogy „rögtönzött próbálkozás”, mivel a mögötte álló szereplőknek jelentős erőforrásokra és infrastruktúrára kell támaszkodniuk.
Kinsing malware támadások mennyisége, 2019. december – 2020. március. Forrás: Aqua Security blog
Víruselemző eszközeivel az Aqua Security egy Golang-alapú Linux-ügynökként azonosította a kártevőt, amelyet Kinsing néven ismernek. A rosszindulatú program a Docker API-portok hibás konfigurációinak kihasználásával terjed. Egy Ubuntu tárolót futtat, amely letölti a Kinsing programot, majd megpróbálja elterjeszteni a kártevőt további konténerekre és gazdagépekre.
A kutatók szerint a kampány végcélja – először a nyitott port kihasználásával, majd egy sor kijátszási taktika végrehajtásával – egy kriptobányász telepítése a kompromittált gazdagépen.
Infografika, amely egy Kinsing-támadás teljes folyamatát mutatja. Forrás: Aqua Security blog
A biztonsági csapatoknak fokozniuk kell a játékukat, mondja Aqua
Az Aqua tanulmánya részletes betekintést nyújt a rosszindulatú programokkal kapcsolatos kampány összetevőibe, amely a cég állítása szerint „növekvő fenyegetést jelent a felhőalapú környezetekre”.
A támadók fokozzák játékukat, hogy egyre kifinomultabb és ambiciózusabb támadásokat hajtsanak végre, jegyzik meg a kutatók. Válaszul a vállalati biztonsági csapatoknak robusztusabb stratégiát kell kidolgozniuk ezen új kockázatok mérséklésére.
Az Aqua javaslatai között szerepel, hogy a csapatok azonosítsák az összes felhő-erőforrást, és csoportosítsák azokat egy logikai struktúrába, tekintsék át engedélyezési és hitelesítési szabályzataikat, és állítsák be az alapvető biztonsági szabályzatokat a „legkisebb kiváltság” elve szerint.
A csapatoknak emellett meg kell vizsgálniuk a naplókat, hogy megtalálják az anomáliákként regisztráló felhasználói műveleteket, valamint felhőalapú biztonsági eszközöket kell alkalmazniuk stratégiájuk megerősítése érdekében.
Növekvő tudatosság
A múlt hónapban a szingapúri székhelyű unikornis startup Acronis közzétett legújabb kiberbiztonsági felmérésének eredményeit. Kiderült, hogy az IT-szakemberek 86%-át aggasztja a kriptojacking – ez az iparági kifejezés a számítógép feldolgozási teljesítményének felhasználására. enyém kriptovaluták esetében a tulajdonos beleegyezése vagy tudta nélkül.