Уязвимые инстансы Docker стали целью нелегальных криптомайнеров

28 ноябрь, 2019 - 14:45

Уязвимые инстансы Docker стали целью нелегальных криптомайнеров

Неизвестные хакеры запустили кампанию по поиску в Интернете инстансов Docker с открытыми конечными точками (каналами приёма запросов к API). Сканирование Сети в поисках уязвимых для взлома серверов это достаточно обычное занятие киберпреступников, но данный случай выделяют масштабы: эксперты кибербезопасности из фирмы Bad Packets сообщают, что анонимная группа сканирует более 59 тысяч IP-сетей.

«Уже одно это требовало дальнейшего расследования, чтобы выяснить цели этого ботнета... В эту кампанию были вложены приличные усилия, и мы еще не полностью проанализировали все её аспекты», — заявил Трой Марш (Troy Mursch), директор по исследованиям и соучредитель Bad Packets.

При обнаружении уязвимого инстанса Docker отдаётся команда на установку скрипта XMRRig , который и осуществляет взлом сервера, используемого затем для майнинга криптовалюты Monero. Эти цифровые токены особенно популярны в преступной среде поскольку транзакции с их использованием труднее отследить, чем, например, сделки с биткойн.

Атаки на Docker с целью установки криптомайнеров происходили и раньше. В марте этого года их жертвами стали контейнерные хост-серверы с незакрытой патчем уязвимостью runC, дающей доступ к удалённому API Docker. В прошлом месяце был обнаружен крипто-червь Gradoid, успевший к тому времени распространиться более чем на 2 тысячи хостов Docker.

По оценкам Марша, новая кампания пока не принесла подпольным майнерам больших доходов: они добыли всего 14,84 Monero (XMR) на сумму около $832. Эксперт рекомендует пользователям инстансов Docker проверять защиту конечных точек API, а если они окажутся открытыми — блокировать порты и останавливать неизвестные работающие контейнеры.