Cybersecurity-forskare har identifierat en ihållande och ambitiös kampanj som riktar sig mot tusentals Docker-servrar dagligen med en Bitcoin (BTC) gruvarbetare.
I en rapport publicerade den 3 april utfärdade Aqua Security en hotvarning om attacken, som uppenbarligen har pågått i månader, med tusentals försök som har ägt rum nästan dagligen. Forskarna varnar:
"Det här är de högsta siffrorna som vi har sett på en tid, vilket överstiger det vi har sett till dags dato."
Sådant omfattning och ambition indikerar att den olagliga Bitcoin-gruvkampanjen sannolikt inte är "en improviserad strävan", eftersom aktörerna bakom den måste förlita sig på betydande resurser och infrastruktur.
Dödande volymer för attack av skadlig programvara, december 2019-mars 2020. Källa: Aqua Security-blogg
Med sina virusanalysverktyg har Aqua Security identifierat skadlig programvara som en Golang-baserad Linux-agent, känd som Kinsing. Det skadliga programmet sprids genom att utnyttja felkonfigurationer i Docker API-portar. Den kör en Ubuntu-container, som laddar ner Kinsing och sedan försöker sprida skadlig programvara till ytterligare containrar och värdar.
Kampanjens slutmål - uppnådd genom att först utnyttja den öppna hamnen och sedan genomföra med en serie av undvikelsestaktik - är att distribuera en kryptominerare på den komprometterade värden, säger forskarna.
Infographic som visar hela flödet av en Kinsing-attack. Källa: Aqua Security-blogg
Säkerhetsteam måste öka sitt spel, säger Aqua
Aquas studie ger detaljerad inblick i komponenterna i skadlig kampanj, som framträder som ett kraftfullt exempel på vad företaget hävdar är ”det växande hotet mot molnmiljöer.”
Angripare ställer upp sitt spel för att göra allt mer sofistikerade och ambitiösa attacker, konstaterar forskarna. Som svar måste företagets säkerhetsteam utveckla en mer robust strategi för att mildra dessa nya risker.
Bland deras rekommendationer föreslår Aqua att team identifierar alla molnresurser och grupperar dem i en logisk struktur, granskar sina auktoriserings- och autentiseringspolicyer och justerar grundläggande säkerhetspolicyer enligt en princip om "minst privilegium".
Team bör också undersöka loggar för att hitta användaråtgärder som registreras som avvikelser, samt implementera molnsäkerhetsverktyg för att stärka deras strategi.
Växande medvetenhet
Förra månaden, Singapore-baserade enhörningsstart Acronis publicerade resultaten från den senaste undersökningen för cybersäkerhet. Det avslöjade att 86% av IT-proffsen är oroliga för cryptojacking - branschbeteckningen för att använda en dators processorkraft för att min för kryptokurser utan ägarens samtycke eller kunskap.