Docker malware je postao česta pojava

Kibernetički napadi u 2017. su pokazali jednu zanimljivu promjenu vezanu uz plasman malwarea - hakeri su počeli ciljati Docker i Kubernetes sustave. Proširilo se to s popularizacijom cloud baziranih tehnologija.

I napadači su pritom koristili jednostavan uzoran gdje bi se skeniralo pogrešno konfigurirane sustave koji su imali administratorska korisnička sučelja izložene online pa bi na taj način stigli do kontrole nad serverom i implementirali malware za "rudarenje" kiprovaluta.

Kroz posljednje su se tri godine napadi ove vrste samo intenzivirali pa se sad na dnevnoj bazi nalaze nove vrste malwarea koji napada Docker i Kubernetes. Neovisno o tome, Docker serveri su sad uobičajeni i čini se da mnogi web developeri još uvijek nisu naučili lekciju jer pogrešno konfigurirani Docker serveri i dalje su rasprostranjeni i otvoreni za napade.

Najčešća greška koja se čini jest ostaviti Docker API krajnje točke administratorskog upravljanja na daljinu izložene online bez ovjere autentičnosti. Sve to koriste brojni uzorci malwarea svih ovih godina, a najpoznatiji su Doki, Ngrok, Kinsing (H2miner), XORDDOS, AESDDOS, Team TNT, Xanthe...

Iako se razlikuju u efikasnosti i načinima na koje ih se otkriva, zajedničko im je to što pretražuju pogrešno konfigurirane Docker servere pa ih potom koriste u svoje zloćudne svrhe. Srećom po vlasnike servera, još uvijek se ova metoda koristi isključivo za implementaciju malwarea za "rudarenje" kriptovaluta.

S vremenom bi "provala" u sustav mogla biti bitno opasnija, ako se ne počne ulagati više vremena i novca u sigurnost. Primjerice, nedavno je kineska sigurnosna kompanija Qihoo 360 razotkrila malware Blackrota, koji je pojednostavljena verzija CarbonStrieka u Go programskom jeziku.

Također, služi za "rudarenje" kriptovaluta, ali može poslužiti i kao DDoS botnet unutar moćnih cloud servera...