Aqua Security: майнер Kinsing заражає тисячі серверів Docker щодня

Дослідники кібербезпеки компанії Aqua Security виявили кампанію по поширенню майнера биткоина, який щодня заражає тисячі серверів Docker.

У своєму звіті
Aqua Security випустила попередження про загрозу атаки, яка триває вже кілька місяців, і тисячі спроб відбуваються майже щодня». Дослідники попереджають:

«Це найвищі цифри, які ми коли-небудь бачили, набагато перевищують показники інших кампаній, з якими ми стикалися раніше».

Масштаби поширення майнера Kinsing вказують на те, що незаконна кампанія навряд чи може вважатися «імпровізацією», оскільки її оператори повинні спиратися на значні ресурси та інфраструктуру.

Використовуючи інструменти аналізу вірусів, Aqua Security ідентифікувала шкідливе ПЗ як агента Linux на основі Golang, відомого як Kinsing. Воно поширюється шляхом використання уразливості в помилку конфігурації в портах Docker API. Воно запускає контейнер Ubuntu, який завантажує Kinsing, а потім намагається поширити шкідливе ПЗ на інші контейнери і хости.

Дослідники стверджують, що кінцева мета кампанії, яка досягається в першу чергу за рахунок використання відкритого порту, а потім шляхом застосування низки тактик ухилення, це розгортання криптовалютного майнера на зламаному хості.

Дослідження Aqua дає детальне уявлення про компоненти кампанії шкідливого ПО, яку можна вважати яскравим прикладом «зростаючою загрозою для хмарних середовищ». Дослідники відзначають, що зловмисники здійснюють все більш складні і амбітні атаки. У відповідь на це фахівцям з безпеки підприємств необхідно розробити більш надійну стратегію для зниження цих ризиків.

Aqua пропонує фахівцям з безпеки ідентифікувати всі хмарні ресурси та згрупувати їх в логічну структуру, переглянути свої політики авторизації і аутентифікації і налаштувати базові політики безпеки у відповідності з принципом «найменших привілеїв». Фахівці також повинні досліджувати журнали, щоб виявити аномальні дії користувача, і впровадити інструменти хмарної безпеки для посилення своєї стратегії.

Хакери вже не перший раз намагаються використовувати уразливості хмарних інфраструктур для майнінг криптовалют. Ще влітку минулого року компанія Skybox Security провела дослідження, згідно з результатами якого хакери переключилися з вірусів-майнер для звичайних користувачів ПК на злом і використання ресурсів хмарних сервісів.

У березні минулого року підрозділ кібербезпеки американського телекомунікаційного оператора AT&T також повідомило, що основною метою злому хмарних серверів різних компаній став майнінг криптовалют. Крім того, на початку 2019 року з’явилася
нова програма криптоджекинга для майнінг монеро, яка націлилася на хмарні сервера.