Docker Hub bị hacker lợi dụng để phát tán mã độc Cryptojacking

Docker ngày càng trở nên phổ biến với các lập trình viên với tư cách dịch vụ đóng gói và triển khai các ứng dụng phần mềm. Chính vì thế, các hacker mũ đen tập trung tấn công vào các API endpoints bị lộ của Docker để tạo ra những Docker Images nhiễm mã độc. Từ đó, hacker có thể triển khai các cuộc tấn công DDoS và chạy ứng dụng khai thác tiền ảo trái phép trên hệ thống của nạn nhân.

Theo báo cáo của đơn vị nghiên cứu các mối đe dọa an ninh mạng Unit 42 thuộc Palo Alto Networks, hacker kiếm lời bằng cách triển khai phần mềm khai thác tiền ảo bằng cách dùng các Docker Container. Hơn nữa, chúng lợi dụng chính kho lưu trữ Docker Hub để phát tán các Docker Images nhiễm mã độc.

Unit 42 báo cáo: "Docker Container là một phương thức thuận tiện, giúp lập trình viên đóng gói phần mềm dễ dàng hơn nên ngày càng có nhiều lập trình viên sử dụng nó. Vì thế, hacker dễ dàng phát tán các phần mềm khai thác tiền ảo tới các máy có chạy phần mềm Docker. Sau đó, ngay lập tức hệ thống của nạn nhân sẽ được dùng để khai thác tiền ảo trái phép".

Docker là một nền tảng giải pháp (PaaS) nổi tiếng dành cho Linux và Windows, cho phép các nhà phát triển triển khai, thử nghiệm và đóng gói các ứng dụng của họ trong môi trường ảo hóa. Điều này giúp các ứng dụng hoạt động tách biệt so với hệ thống máy chủ chứa nó.

Trong tài khoản "azurenql", hiện đã bị gỡ khỏi Docker Hub, các nhà nghiên cứu phát hiện ra 8 Docker Images chứa mã độc có khả năng khai thác tiền ảo Moreno. Tác giả của mã độc này sử dụng một tập lệnh Python để kích hoạt mã độc khai thác tiền ảo và dùng các công cụ truy cập internet ẩn danh như ProxyChains và Tor để tránh bị phát hiện.

Từ khi được triển khai vào tháng 10/2019, các Docker Images của tài khoản "azurenql" đã tiến hành khai thác tiền ảo hơn 2 triệu lần. Trong một trong những ví điện tử liên kết với chiến dịch này, các nhà nghiên cứu tìm ra số tiền ảo trị giá 36.000 USD (838 triệu đồng).

Tấn công DDoS

Không chỉ dừng lại ở đó, trong một đợt truy quét gần đây, các nhà nghiên cứu của Trend Micro phát hiện ra các máy chủ không được bảo vệ của Docker đang bị tấn công bởi ít nhất hai mã độc là XOR DDoS và Kaiji. Những mã độc này sẽ thu thập thông tin hệ thống của nạn nhân và thực hiện các cuộc tấn công DDoS.

Các nhà nghiên cứu tuyên bố: "Hacker thường sử dụng các botnet để thực hiện những cuộc tấn công brute-force sau khi quét các công Secure Shell (SSH) và Telnet bị bỏ ngỏ. Hiện tại, hacker vẫn đang tìm kiếm các máy chủ Docker với cổng 2375 không được bảo vệ".

Mặc dù có phương thức tấn công DDoS khác nhau nhưng cả XOR DDoS và Kanji đều thu thập các dữ liệu như tên miền, tốc độ mạng, số nhận dạng của các tiến trình đang chạy và thông tin về CPU của hệ thống. Đây đều là các thông tin cần thiết phục vụ cho các chiến dịch DDoS.

Các chuyên gia khuyến cáo người dùng và các doanh nghiệp sử dụng Docker nên kiểm tra ngay lập tức xem các API endpoints của họ có bị lộ trên internet hay không. Ngoài ra, bạn cần đóng tất cả các cổng kết nối trên máy chủ Docker cũng như thực thi những biện pháp bảo mật cấp cao nhất cho toàn bộ hệ thống.

Nguồn tham khảo: quantrimang.com