Các nhà nghiên cứu an ninh mạng đã xác định được một chiến dịch dai dẳng và đầy tham vọng nhắm mục tiêu hàng nghìn máy chủ Docker hàng ngày bằng Bitcoin (BTC) thợ mỏ.
Trong báo cáo công bố vào ngày 3 tháng XNUMX, Aqua Security đã đưa ra một cảnh báo về mối đe dọa đối với cuộc tấn công, cuộc tấn công này có vẻ "đã diễn ra trong nhiều tháng, với hàng nghìn lần thử diễn ra gần như hàng ngày." Các nhà nghiên cứu cảnh báo:
“Đây là những con số cao nhất mà chúng tôi từng thấy trong một thời gian, vượt xa những gì chúng tôi đã chứng kiến cho đến nay.”
Phạm vi và tham vọng như vậy cho thấy rằng chiến dịch khai thác Bitcoin bất hợp pháp khó có thể là “một nỗ lực ngẫu hứng”, vì các tác nhân đằng sau nó phải dựa vào các nguồn lực và cơ sở hạ tầng đáng kể.
Số lượng tấn công phần mềm độc hại Kinsing, từ tháng 2019 năm 2020 đến tháng XNUMX năm XNUMX. Nguồn: Blog Aqua Security
Sử dụng các công cụ phân tích vi rút của mình, Aqua Security đã xác định phần mềm độc hại là một tác nhân Linux dựa trên Golang, được gọi là Kinsing. Phần mềm độc hại lan truyền bằng cách khai thác các cấu hình sai trong các cổng API Docker. Nó chạy một vùng chứa Ubuntu, tải xuống Kinsing và sau đó cố gắng phát tán phần mềm độc hại đến các vùng chứa và máy chủ khác.
Các nhà nghiên cứu cho biết, mục tiêu cuối cùng của chiến dịch - đạt được bằng cách khai thác cổng mở và sau đó thực hiện bằng một loạt chiến thuật trốn tránh - là triển khai một công cụ khai thác tiền điện tử trên máy chủ bị xâm phạm, các nhà nghiên cứu cho biết.
Đồ họa thông tin hiển thị toàn bộ quy trình của một cuộc tấn công Kinsing. Nguồn: Blog Aqua Security
Aqua nói: Các đội bảo mật cần nâng cấp trò chơi của họ
Nghiên cứu của Aqua cung cấp cái nhìn chi tiết về các thành phần của chiến dịch phần mềm độc hại, nổi bật như một ví dụ mạnh mẽ về những gì công ty tuyên bố là "mối đe dọa ngày càng tăng đối với môi trường gốc đám mây."
Các nhà nghiên cứu lưu ý rằng những kẻ tấn công đang nâng cấp trò chơi của họ để thực hiện các cuộc tấn công tinh vi và đầy tham vọng hơn bao giờ hết. Đáp lại, các nhóm bảo mật doanh nghiệp cần phát triển một chiến lược mạnh mẽ hơn để giảm thiểu những rủi ro mới này.
Trong số các đề xuất của họ, Aqua đề xuất rằng các nhóm xác định tất cả các tài nguyên đám mây và nhóm chúng theo một cấu trúc hợp lý, xem xét các chính sách ủy quyền và xác thực của họ, đồng thời điều chỉnh các chính sách bảo mật cơ bản theo nguyên tắc “ít đặc quyền nhất”.
Các nhóm cũng nên điều tra nhật ký để xác định hành động của người dùng đăng ký là bất thường, cũng như triển khai các công cụ bảo mật đám mây để củng cố chiến lược của họ.
Phát triển nhận thức
Tháng trước, công ty khởi nghiệp kỳ lân có trụ sở tại Singapore Acronis công bố kết quả của cuộc khảo sát an ninh mạng mới nhất của nó. Nó tiết lộ rằng 86% các chuyên gia CNTT lo ngại về cryptojacking - thuật ngữ trong ngành để chỉ việc sử dụng sức mạnh xử lý của máy tính để tôi đối với tiền điện tử mà không có sự đồng ý hoặc kiến thức của chủ sở hữu.