Ένας λογαριασμός Docker Hub, με το όνομα “azurenql”, ο οποίος περιείχε κακόβουλες εικόνες για εξόρυξη Monero, ανακαλύφθηκε πρόσφατα από ερευνητές. Ο εν λόγω λογαριασμός υπάρχει από τον Οκτώβριο του 2019.
Από τις έρευνες διαπιστώθηκε ότι ο κακόβουλος παράγοντας πίσω από το λογαριασμό κέρδισε 525,38 XMR, τα οποία είναι περίπου 30000 USD με βάση τη σημερινή τιμή του δολαρίου.
Το Docker προσφέρει εικονικοποίηση σε επίπεδο λειτουργικού συστήματος, για την παράδοση λογισμικού σε πακέτα που ονομάζονται containers. Τα dockers είναι δημοφιλή στις μέρες μας, κάτι που τα έχει κάνει κοινούς στόχους για τους hackers για την απόκτηση χρημάτων μέσω cryptojacking.
Κακόβουλοι λογαριασμοί Docker
Οι ερευνητές παρατήρησαν ότι ένας λογαριασμός χρήστη που ονομάζεται “azurenql”, περιέχει οκτώ αποθετήρια που φιλοξενούν έξι κακόβουλες εικόνες εξόρυξης Monero.
Οι βασικές εικόνες χρησιμοποιούν το λειτουργικό σύστημα Ubuntu 16.04.6 LTS.
Προκειμένου να διατηρήσουν την ανωνυμία τους, οι hackers χρησιμοποιούσαν Tor.
Για να καταφέρουν να κάνουν εξορύξεις cryptocurrency, οι εισβολείς χρησιμοποίησαν δύο μεθόδους, εκτελώντας αυτές τις κακόβουλες εικόνες στο περιβάλλον του χρήστη.
Η μία μέθοδος είναι να υποβάλλουν απευθείας τα mined blocks στο κεντρικό minexmr pool, χρησιμοποιώντας ένα wallet ID.
Η δεύτερη μέθοδος, είναι να χρησιμοποιήσουν μία υπηρεσία φιλοξενίας που εκτελεί το mining pool τους, το οποίο χρησιμοποιείται για τη συλλογή block εξόρυξης.
Όπως έγινε αντιληπτό από τους ερευνητές, το wallet ID χρησιμοποιείται ακόμη και η πιο πρόσφατη δραστηριότητα εξόρυξής του παρατητήθηκε τον Απρίλιο και τον Μάιο του 2020.
Οι επιθέσεις Cryptomining έχουν αρχίσει να γίνονται όλο και πιο συχνό φαινόμενο. Οι κακόβουλοι παράγοντες θέτουν σε κίνδυνο servers, προσωπικούς υπολογιστές, επεκτάσεις Chrome και διαδικτυακές πύλες για να εξορύξουν ψηφιακά νομίσματα όπως το Monero. Οι ερευνητές ασφαλείας της Unit42 ανακάλυψαν πρώτοι την κακόβουλη δραστηριότητα και την ανέφεραν άμεσα στο Docker Hub. Όσοι κακόβουλοι λογαριασμοί βρέθηκαν, διαγράφηκαν αμέσως.
