Дослідники кібербезпеки виявили наполегливу та амбітну кампанію, яка щодня націлена на тисячі серверів Docker за допомогою біткойн (БТД) шахтар.
У звіті опублікований 3 квітня Aqua Security оприлюднила попередження про загрозу щодо атаки, яка нібито «триває місяцями, тисячі спроб відбуваються майже щодня». Дослідники попереджають:
«Це найвищі показники, які ми бачили за деякий час, що значно перевищують те, свідками яких ми були на сьогоднішній день».
Такий розмах і амбіції вказують на те, що кампанія незаконного майнінгу біткойнів навряд чи буде «імпровізованим заходом», оскільки учасники, які стоять за нею, повинні покладатися на значні ресурси та інфраструктуру.
Обсяги атак зловмисного програмного забезпечення Kinsing, грудень 2019 – березень 2020. Джерело: Блог Aqua Security
Використовуючи свої інструменти аналізу вірусів, Aqua Security ідентифікувала зловмисне програмне забезпечення як агент Linux на основі Golang, відомий як Kinsing. Шкідливе програмне забезпечення поширюється, використовуючи неправильні конфігурації в портах API Docker. Він запускає контейнер Ubuntu, який завантажує Kinsing, а потім намагається поширити шкідливе програмне забезпечення на інші контейнери та хости.
Дослідники кажуть, що кінцева мета кампанії, досягнута шляхом спочатку використання відкритого порту, а потім виконання ряду тактик ухилення, полягає в тому, щоб розгорнути криптомайнер на зламаному хості.
Інфографіка, що показує повний перебіг атаки Kinsing. Джерело: Блог Aqua Security
Командам безпеки потрібно покращити свою гру, каже Аква
Дослідження Aqua дає детальне уявлення про компоненти кампанії зі зловмисного програмного забезпечення, що є яскравим прикладом того, що, як стверджує фірма, є «зростаючою загрозою для хмарного середовища».
Дослідники відзначають, що зловмисники покращують свою гру, щоб проводити все більш витончені та амбітні атаки. У відповідь на це команди корпоративної безпеки повинні розробити більш надійну стратегію для пом’якшення цих нових ризиків.
Серед своїх рекомендацій Aqua пропонує командам визначати всі хмарні ресурси та групувати їх у логічну структуру, переглядати свої політики авторизації та аутентифікації та коригувати основні політики безпеки відповідно до принципу «найменшого привілею».
Команди також повинні досліджувати журнали, щоб знайти дії користувачів, які реєструються як аномалії, а також впровадити інструменти хмарної безпеки для посилення своєї стратегії.
Зростання обізнаності
Минулого місяця сінгапурський стартап-єдиноріг Acronis опублікований результати останнього опитування з питань кібербезпеки. Було виявлено, що 86% ІТ-фахівців стурбовані криптоджекінгом — галузевим терміном для практики використання обчислювальної потужності комп’ютера для мій для криптовалют без згоди або відома власника.