Palo Alto Networks виявила перший хробак для криптоджекінгу, що розповсюджується за допомогою контейнерів Docker
Palo Alto Networks виявила перший хробак для криптоджекінгу, що розповсюджується за допомогою контейнерів Docker
Команда дослідників з Unit 42 компанії Palo Alto Networks виявили , за їхніми словами, перший черв'як для криптоджекінгу, що розповсюджується за допомогою контейнерів Docker.
Шкідливе програмне забезпечення, яке отримало назву Graboid, завантажується з C&C-серверів і призначене для майнінгу криптовалюти Monero. Для поширення черв'як періодично запитує у C&C-сервера інформацію про вразливі хости і випадковим чином вибирає наступну мету. За словами дослідників, у середньому кожен криптомайнер активний протягом 63% часу, а періоди майнінгу становлять 250 с.
Під час аналізу шкідливої кампанії було виявлено 2 тис. підключених до Мережі установок Docker з відсутнім механізмом авторизації, що дозволяє зловмисникові отримати повний контроль над движком Docker (Community Edition) та хостом.
Під час атаки кіберзлочинець може скомпрометувати незахищений демон Docker, після чого запустити шкідливий контейнер з Docker Hub, отримати скрипти та список вразливих хостів від C&C-сервера, а потім повторити операцію для атаки на наступну мету.
Graboid включає функції як хробака, так і майнера криптовалюти. Щоразу шкідливість випадковим чином вибирає три цілі, встановлює черв'як на першій, зупиняє роботу майнера на другий і запускає його на третій, створюючи непередбачувану поведінку. Шкідливий контейнер не запускається відразу після злому хоста, а очікує, коли інший скомпрометований хост розпочне процес майнінгу.
«По суті, майнер на кожному зараженому хості випадково контролюється всіма іншими зараженими хостами. Мотивація створення такого випадкового механізму неясна. Це може бути результатом поганого дизайну, технікою ухилення від виявлення (не дуже ефективною), самодостатньою системою або переслідувати інші цілі», - пояснюють дослідники Palo Alto Networks.
За словами дослідників, шкідливий образ Docker (pocosow/centos) був завантажений понад 10 тис. разів із Docker Hub. Контейнер для майнінгу криптовалюти, який розміщує хробак (gakeaws/nginx), був завантажений понад 6500 разів. Дослідники також виявили, що користувач gakeaws опублікував другий образ криптоджекінгу (gakeaws/mysql), який має ідентичний зміст із gakeaws/nginx.
