Raziskovalci kibernetske varnosti so odkrili vztrajno in ambiciozno kampanjo, ki dnevno cilja na tisoče strežnikov Docker z Bitcoin (BTC) rudar.
V poročilu objavljeno 3. aprila je Aqua Security izdal opozorilo o grožnji zaradi napada, ki naj bi »potekal že mesece in skoraj vsak dan na tisoče poskusov«. Raziskovalci opozarjajo:
"To so najvišje številke, ki smo jih videli v zadnjem času, daleč presegajo tisto, kar smo bili priča do danes."
Takšen obseg in ambicije kažejo, da je malo verjetno, da bo nezakonita kampanja rudarjenja bitcoinov »improviziran podvig«, saj se akterji, ki stojijo za njo, zagotovo zanašajo na znatna sredstva in infrastrukturo.
Obseg napadov zlonamerne programske opreme Kinsing, december 2019–marec 2020. Vir: Blog Aqua Security
Aqua Security je s svojimi orodji za analizo virusov identificiral zlonamerno programsko opremo kot agenta Linux, ki temelji na Golangu, znanega kot Kinsing. Zlonamerna programska oprema se širi z izkoriščanjem napačnih konfiguracij v vratih API-ja Docker. Poganja vsebnik Ubuntu, ki prenese Kinsing in nato poskuša zlonamerno programsko opremo razširiti na nadaljnje vsebnike in gostitelje.
Raziskovalci pravijo, da je končni cilj kampanje – dosežen s prvim izkoriščanjem odprtega pristanišča in nato izvajanjem vrste taktik izogibanja – na ogroženem gostitelju namestiti kripto rudar.
Infografika, ki prikazuje celoten potek napada Kinsing. Vir: Blog Aqua Security
Varnostne ekipe morajo izboljšati svojo igro, pravi Aqua
Študija podjetja Aqua zagotavlja podroben vpogled v komponente kampanje zlonamerne programske opreme, ki izstopa kot močan primer tega, kar podjetje trdi, da je "naraščajoča grožnja domačim okoljem v oblaku."
Napadalci izboljšujejo svojo igro, da bi izvajali vedno bolj prefinjene in ambiciozne napade, ugotavljajo raziskovalci. V odgovor morajo varnostne skupine podjetij razviti trdnejšo strategijo za ublažitev teh novih tveganj.
Med svojimi priporočili Aqua predlaga, da ekipe identificirajo vse vire v oblaku in jih združijo v logično strukturo, pregledajo njihove politike avtorizacije in preverjanja pristnosti ter prilagodijo osnovne varnostne politike v skladu z načelom "najmanjših privilegijev".
Ekipe bi morale tudi raziskati dnevnike, da bi poiskale uporabniška dejanja, ki se zabeležijo kot anomalije, ter implementirati varnostna orodja v oblaku za krepitev svoje strategije.
Naraščajoče zavedanje
Prejšnji mesec, singapurski samorog startup Acronis objavljeno rezultate svoje najnovejše raziskave kibernetske varnosti. Razkrilo je, da je 86 % IT-strokovnjakov zaskrbljenih zaradi cryptojackinga – industrijskega izraza za prakso uporabe procesorske moči računalnika za Rudnik za kriptovalute brez soglasja ali vednosti lastnika.