Cybersikkerhetsforskere har identifisert en vedvarende og ambisiøs kampanje som retter seg mot tusenvis av Docker-servere daglig med en Bitcoin (BTC) gruvearbeider.
I en rapport publisert 3. april utstedte Aqua Security et trusselvarsel over angrepet, som tilsynelatende har "pågått i flere måneder, med tusenvis av forsøk som fant sted nesten daglig." Forskerne advarer:
"Dette er de høyeste tallene vi har sett på noen tid, langt over det vi har sett til dags dato."
Slikt omfang og ambisjon indikerer at den ulovlige Bitcoin-gruvekampanjen neppe vil være "en improvisert innsats", ettersom aktørene bak den må stole på betydelige ressurser og infrastruktur.
Kinsing malware angrepsvolumer, desember 2019-mars 2020. Kilde: Aqua Security-bloggen
Ved å bruke sine virusanalyseverktøy har Aqua Security identifisert skadevaren som en Golang-basert Linux-agent, kjent som Kinsing. Skadevaren forplanter seg ved å utnytte feilkonfigurasjoner i Docker API-porter. Den kjører en Ubuntu-beholder, som laster ned Kinsing og deretter prøver å spre skadelig programvare til flere beholdere og verter.
Kampanjens sluttmål – oppnådd ved først å utnytte den åpne porten og deretter gjennomføre med en rekke unnvikelsestaktikker – er å distribuere en kryptogruvearbeider på den kompromitterte verten, sier forskerne.
Infografikk som viser hele flyten av et Kinsing-angrep. Kilde: Aqua Security-bloggen
Sikkerhetsteam må øke spillet, sier Aqua
Aquas studie gir detaljert innsikt i komponentene i malware-kampanjen, som skiller seg ut som et sterkt eksempel på det firmaet hevder er "den økende trusselen mot skybaserte miljøer."
Angripere øker spillet for å sette i gang stadig mer sofistikerte og ambisiøse angrep, bemerker forskerne. Som svar må bedriftssikkerhetsteam utvikle en mer robust strategi for å redusere disse nye risikoene.
Blant anbefalingene deres foreslår Aqua at teamene identifiserer alle skyressurser og grupperer dem i en logisk struktur, gjennomgår deres autorisasjons- og autentiseringspolicyer og justerer grunnleggende sikkerhetspolicyer i henhold til et prinsipp om «minste privilegium».
Teamene bør også undersøke logger for å finne brukerhandlinger som registreres som uregelmessigheter, samt implementere skysikkerhetsverktøy for å styrke strategien deres.
Voksende bevissthet
Forrige måned startet Singapore-baserte enhjørning Acronis publisert resultatene av den siste cybersikkerhetsundersøkelsen. Den avslørte at 86 % av IT-fagfolk er bekymret for kryptojacking – bransjebetegnelsen for praksisen med å bruke en datamaskins prosessorkraft til å gruve for kryptovalutaer uten eiers samtykke eller viten.