Исследователи кибербезопасности определили постоянную и амбициозную кампанию, которая ежедневно нацелена на тысячи серверов Docker с биткойнами (BTC) Шахтер.
В докладе опубликованный 3 апреля Aqua Security выпустила предупреждение об угрозе атаки, которая якобы «продолжалась в течение нескольких месяцев, причем тысячи попыток совершались почти ежедневно». Исследователи предупреждают:
«Это самые высокие цифры, которые мы когда-либо видели, намного превышающие то, что мы видели на сегодняшний день».
Такие масштабы и амбиции указывают на то, что незаконная кампания по майнингу биткойнов вряд ли будет «импровизированной попыткой», поскольку действующие лица должны опираться на значительные ресурсы и инфраструктуру.
Уничтожение вредоносных атак, декабрь 2019 г. - март 2020 г. Источник: Блог Aqua Security
Используя инструменты анализа вирусов, Aqua Security идентифицировала вредоносное ПО как агента Linux на основе Golang, известного как Kinsing. Вредонос распространяется с использованием неверной конфигурации в портах Docker API. Он запускает контейнер Ubuntu, который загружает Kinsing, а затем пытается распространить вредоносное ПО на другие контейнеры и хосты.
Исследователи утверждают, что конечной целью кампании, которая была достигнута сначала путем использования открытого порта, а затем проведением серии тактик уклонения, является развертывание крипто-майнера на взломанном хосте.
Инфографика, показывающая полный поток атаки Kinsing. Источник: Блог Aqua Security
Команда безопасности должна улучшить свою игру, говорит Аква
Исследование Aqua дает подробное представление о компонентах кампании по борьбе с вредоносным ПО, которое является ярким примером того, что, по утверждению компании, является «растущей угрозой для облачных сред».
Исследователи отмечают, что злоумышленники увеличивают свою игру, чтобы проводить более сложные и амбициозные атаки. В ответ на это группам безопасности предприятия необходимо разработать более надежную стратегию для снижения этих новых рисков.
В числе своих рекомендаций Aqua предлагает группам идентифицировать все облачные ресурсы и сгруппировать их в логическую структуру, пересмотреть свои политики авторизации и аутентификации и настроить базовые политики безопасности в соответствии с принципом «наименьших привилегий».
Команды также должны исследовать журналы, чтобы найти действия пользователя, которые регистрируются как аномалии, а также внедрить инструменты облачной безопасности для усиления своей стратегии.
Растущая осведомленность
В прошлом месяце сингапурский запуск единорога Acronis опубликованный результаты его последнего исследования кибербезопасности. Выяснилось, что 86% ИТ-специалистов обеспокоены криптовалютой - отраслевым термином для практики использования вычислительной мощности компьютера для мой для криптоконверсий без согласия владельца или знаний.