Badacze ds. Cyberbezpieczeństwa zidentyfikowali trwałą i ambitną kampanię, której codziennym celem jest tysiące serwerów Docker za pomocą Bitcoin (BTC) górnik.
W raporcie opublikowany 3 kwietnia firma Aqua Security wydała ostrzeżenie o zagrożeniu w związku z atakiem, który rzekomo „trwa od miesięcy, a tysiące prób odbywa się niemal codziennie”. Naukowcy ostrzegają:
„Są to najwyższe liczby, jakie widzieliśmy od jakiegoś czasu, znacznie przekraczające to, czego byliśmy świadkami do tej pory”.
Taki zakres i ambicja wskazują, że nielegalna kampania wydobywania bitcoinów prawdopodobnie nie będzie „improwizowanym przedsięwzięciem”, ponieważ aktorzy za nią muszą polegać na znacznych zasobach i infrastrukturze.
Liczba ataków złośliwego oprogramowania Kinsing, grudzień 2019 r. – marzec 2020 r. Źródło: Blog Aqua Security
Korzystając ze swoich narzędzi do analizy wirusów, Aqua Security zidentyfikowała złośliwe oprogramowanie jako agenta Linux opartego na Golangu, znanego jako Kinsing. Złośliwe oprogramowanie rozprzestrzenia się, wykorzystując błędne konfiguracje w portach Docker API. Uruchamia kontener Ubuntu, który pobiera Kinsing, a następnie próbuje rozprzestrzeniać złośliwe oprogramowanie na kolejne kontenery i hosty.
Ostatecznym celem kampanii — osiągniętym najpierw poprzez wykorzystanie otwartego portu, a następnie zastosowanie serii taktyk uników — jest wdrożenie koparki kryptowalut na zaatakowanym hoście, twierdzą naukowcy.
Infografika przedstawiająca pełny przebieg ataku Kinsing. Źródło: Blog Aqua Security
Zespoły ds. bezpieczeństwa muszą poprawić swoją grę, mówi Aqua
Badanie Aqua zapewnia szczegółowy wgląd w składniki kampanii szkodliwego oprogramowania, która jest mocnym przykładem tego, co według firmy jest „rosnącym zagrożeniem dla środowisk natywnych w chmurze”.
Naukowcy zauważają, że napastnicy rozwijają swoją grę, aby przeprowadzać coraz bardziej wyrafinowane i ambitne ataki. W odpowiedzi zespoły ds. bezpieczeństwa w przedsiębiorstwie muszą opracować bardziej solidną strategię ograniczania tych nowych zagrożeń.
Wśród swoich zaleceń Aqua proponuje, aby zespoły zidentyfikowały wszystkie zasoby w chmurze i pogrupowały je w strukturę logiczną, przejrzały swoje zasady autoryzacji i uwierzytelniania oraz dostosowały podstawowe zasady bezpieczeństwa zgodnie z zasadą „najmniejszych uprawnień”.
Zespoły powinny również badać dzienniki, aby zlokalizować działania użytkownika, które są rejestrowane jako anomalie, a także wdrażać narzędzia bezpieczeństwa w chmurze, aby wzmocnić swoją strategię.
Rosnąca świadomość
W zeszłym miesiącu singapurski start-up jednorożca Acronis opublikowany wyniki najnowszego badania cyberbezpieczeństwa. Okazało się, że 86% specjalistów IT jest zaniepokojonych cryptojackingiem — branżowym terminem określającym praktykę wykorzystywania mocy obliczeniowej komputera do kopalnia dla kryptowalut bez zgody lub wiedzy właściciela.