นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุแคมเปญที่ต่อเนื่องและทะเยอทะยานซึ่งกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Docker หลายพันเครื่องทุกวันด้วย Bitcoin (BTC) คนขุดแร่
ในรายงาน การตีพิมพ์ เมื่อวันที่ 3 เมษายน Aqua Security ได้ออกการแจ้งเตือนภัยคุกคามเกี่ยวกับการโจมตีดังกล่าว ซึ่งเห็นได้ชัดว่า “ดำเนินมาเป็นเวลาหลายเดือนแล้ว โดยมีความพยายามหลายพันครั้งเกิดขึ้นเกือบทุกวัน” นักวิจัยเตือน:
“นี่เป็นตัวเลขสูงสุดที่เราเคยเห็นในช่วงเวลาหนึ่ง เกินกว่าที่เราเคยพบเห็นมาจนถึงปัจจุบัน”
ขอบเขตและความทะเยอทะยานดังกล่าวบ่งชี้ว่าแคมเปญการขุด Bitcoin ที่ผิดกฎหมายไม่น่าจะเป็น “ความพยายามชั่วคราว” เนื่องจากนักแสดงที่อยู่เบื้องหลังจะต้องอาศัยทรัพยากรและโครงสร้างพื้นฐานที่สำคัญ
ปริมาณการโจมตีของมัลแวร์ Kinsing ธันวาคม 2019-มีนาคม 2020 ที่มา: บล็อก Aqua Security
ด้วยการใช้เครื่องมือวิเคราะห์ไวรัส Aqua Security ได้ระบุมัลแวร์ว่าเป็นเอเจนต์ Linux ที่ใช้ Golang หรือที่รู้จักในชื่อ Kinsing มัลแวร์แพร่กระจายโดยใช้ประโยชน์จากการกำหนดค่าผิดพลาดในพอร์ต Docker API มันรันคอนเทนเนอร์ Ubuntu ซึ่งดาวน์โหลด Kinsing แล้วพยายามแพร่กระจายมัลแวร์ไปยังคอนเทนเนอร์และโฮสต์เพิ่มเติม
เป้าหมายสุดท้ายของแคมเปญ ซึ่งทำได้โดยการใช้ประโยชน์จากพอร์ตเปิดก่อนแล้วจึงดำเนินการตามกลยุทธ์การหลีกเลี่ยง คือการติดตั้งเครื่องขุดคริปโตบนโฮสต์ที่ถูกบุกรุก นักวิจัยกล่าว
อินโฟกราฟิกแสดงการไหลของการโจมตีแบบ Kinsing แหล่งที่มา: บล็อก Aqua Security
ทีมรักษาความปลอดภัยจำเป็นต้องปรับปรุงเกมของพวกเขา Aqua . กล่าว
การศึกษาของ Aqua ให้ข้อมูลเชิงลึกโดยละเอียดเกี่ยวกับส่วนประกอบต่างๆ ของแคมเปญมัลแวร์ ซึ่งโดดเด่นเป็นตัวอย่างที่ชัดเจนของสิ่งที่บริษัทอ้างว่าเป็น “ภัยคุกคามที่เพิ่มขึ้นต่อสภาพแวดล้อมแบบคลาวด์เนทีฟ”
นักวิจัยตั้งข้อสังเกตว่าผู้โจมตีกำลังปรับปรุงเกมเพื่อโจมตีที่ซับซ้อนและทะเยอทะยานมากขึ้น ในการตอบสนอง ทีมรักษาความปลอดภัยขององค์กรจำเป็นต้องพัฒนากลยุทธ์ที่แข็งแกร่งขึ้นเพื่อลดความเสี่ยงใหม่เหล่านี้
ท่ามกลางคำแนะนำของพวกเขา Aqua เสนอให้ทีมระบุทรัพยากรระบบคลาวด์ทั้งหมดและจัดกลุ่มพวกเขาในโครงสร้างเชิงตรรกะ ตรวจสอบนโยบายการอนุญาตและการตรวจสอบสิทธิ์ และปรับนโยบายความปลอดภัยขั้นพื้นฐานตามหลักการของ "สิทธิ์น้อยที่สุด"
นอกจากนี้ ทีมควรตรวจสอบบันทึกเพื่อค้นหาการกระทำของผู้ใช้ที่ลงทะเบียนเป็นความผิดปกติ ตลอดจนใช้เครื่องมือรักษาความปลอดภัยระบบคลาวด์เพื่อเสริมความแข็งแกร่งให้กับกลยุทธ์
เจริญสติปัฏฐาน
เมื่อเดือนที่แล้ว Acronis สตาร์ทอัพยูนิคอร์นในสิงคโปร์ การตีพิมพ์ ผลการสำรวจความปลอดภัยทางไซเบอร์ล่าสุด เปิดเผยว่า 86% ของผู้เชี่ยวชาญด้านไอทีมีความกังวลเกี่ยวกับ cryptojacking ซึ่งเป็นคำศัพท์ทางอุตสาหกรรมสำหรับการฝึกใช้พลังการประมวลผลของคอมพิวเตอร์เพื่อ เหมือง สำหรับ cryptocurrencies โดยไม่ได้รับความยินยอมหรือความรู้จากเจ้าของ