Với việc Docker trở nên phổ biến như một dịch vụ để đóng gói và triển khai các ứng dụng phần mềm, các tác nhân độc hại hay những kẻ phá hoại đang tận dụng cơ hội để nhắm mục tiêu các điểm cuối API bị phơi bày và tạo ra các Docker image (tạm dịch: ảnh Docker) bị nhiễm phần mềm độc hại để tạo điều kiện cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và khai thác đào tiền điện tử.
Theo báo cáo được công bố mới đây bởi nhóm tình báo mối đe dọa Đơn vị 42 của Palo Alto Networks, mục đích của những ảnh Docker này là để kiếm tiền bằng cách triển khai một công cụ khai thác tiền điện tử (cryptocurrency miner) thông qua việc sử dụng các container Docker và tận dụng kho lưu trữ Docker Hub để phân phối các ảnh Docker này.
Hình 1 - Ảnh Docker có thể ẩn chứa mã nguồn độc hại để đào tiền mã hóa
"Các container Docker cung cấp một phương pháp thuận tiện cho việc đóng gói và triển khai phần mềm, điều này thể hiện rõ qua tỷ lệ chấp nhận sử sụng ngày càng tăng của nó", các nhà nghiên cứu của Đơn vị 42 cho biết. "Chính vì điều này, kết hợp với khai thác tiền mã hóa, giúp một kẻ xấu có thể dễ dàng phân phối ảnh Docker của họ cho bất kỳ máy nào hỗ trợ Docker để bắt đầu sử dụng tài nguyên tính toán của nó để thực hiện tác vụ tính toán mã hóa ngay lập tức."
Docker là một giải pháp nền tảng (PaaS) nổi tiếng dành cho Linux và Windows, cho phép các nhà phát triển triển khai, kiểm tra và đóng gói các ứng dụng của họ trong một môi trường ảo được đóng gói- theo cách cô lập dịch vụ khỏi hệ thống máy chủ đang chạy.
Tài khoản Docker Hub được đặt tên là "azurenql" hiện đã bị gỡ xuống, bao gồm 8 kho lưu trữ 6 ảnh Docker độc hại có khả năng khai thác tiền mã hóa Monero, một loại tiền điện tử tập trung vào quyền riêng tư. Tác giả phần mềm độc hại đằng sau các ảnh Docker này đã sử dụng tập lệnh Python để kích hoạt hoạt động mã hóa và lợi dụng các công cụ ẩn danh mạng như ProxyChains và Tor để trốn tránh các công cụ phát hiện mạng.
Mã khai thác tiền mã hóa trong Hình 2 mô tả cách khai thác sức mạnh xử lý của các hệ thống bị nhiễm để khai thác các khối trong quá trình đào tiền ảo.
Hình 2 - Qui trình triển khai đào tiền ảo thông qua các ảnh Docker độc hại
Cụ thể, các ảnh Docker được lưu trữ trên tài khoản này đã được thu thập, triển khai hơn hai triệu lần kể từ khi bắt đầu chiến dịch vào tháng 10 năm 2019, với một trong những địa chỉ ví được sử dụng để kiếm được hơn 525,38 XMR (36.000 đô la Mỹ).
Máy chủ Docker trở thành mục tiêu của các mã độc tấn công từ chối dịch vụ
Đó không phải là tất cả. Trong một chiến dịch quét tìm lỗ hổng hàng loạt mới đây được phát hiện bởi các nhà nghiên cứu của Trend Micro, các máy chủ Docker không được bảo vệ đang được ít nhất hai loại phần mềm độc hại khác nhau nhắm làm mục tiêu - XOR DDoS và Kaiji - nhằm để thu thập thông tin hệ thống và thực hiện các cuộc tấn công DDoS.
Các nhà nghiên cứu cho biết: "Những kẻ tấn công thường sử dụng các botnet để thực hiện các cuộc tấn công vét cạn (brute-force) sau khi quét các cổng Secure Shell (SSH) và Telnet đang được mở". "Hiện tại, hắc-cơ cũng đang tìm kiếm các máy chủ Docker với các cổng bị lộ thông tin do đang trong tình trạng mở (2375)."
Điều đáng chú ý là cả XOR DDoS và Kaiji đều là các trojan Linux được biết đến với khả năng thực hiện các cuộc tấn công DDoS. Cụ thể, Kaiji được viết hoàn toàn từ đầu bằng cách sử dụng ngôn ngữ lập trình Go để khai thác các thiết bị IoT thông qua tấn công brute-force SSH. Trong khi đó, chủng phần mềm độc hại XOR DDoS hoạt động bằng cách tìm kiếm các máy chủ có cổng API Docker bị lộ (cổng mở), sau đó gửi lệnh để liệt kê tất cả các container được lưu trữ trên máy chủ đích và thao túng chúng với phần mềm độc hại XOR DDoS.
Tương tự, phần mềm độc hại Kaiji dò tìm các máy chủ có cổng 2375 bị lộ để triển khai container ARM lừa đảo ("linux_arm") nhằm thực thi mã độc Kaiji.
Các nhà nghiên cứu cho biết: "Trong khi cuộc tấn công do mã độc XoS DDoS xâm nhập vào máy chủ Docker để lây nhiễm tất cả các container được lưu trữ trên đó, thì cuộc tấn công của mã độc Kaiji tự triển khai container để chứa phần mềm độc hại DDoS của chính nó", các nhà nghiên cứu lưu ý sự khác biệt giữa hai biến thể phần mềm độc hại.
Ngoài ra, cả hai phần mềm độc hại đều thu thập các chi tiết như tên miền, tốc độ mạng, số nhận dạng tiến trình của các tiến trình đang chạy, thông tin về CPU và mạng cần thiết để thực hiện một cuộc tấn công DDoS.
"Các tác nhân đe dọa đằng sau các biến thể phần mềm độc hại liên tục nâng cấp phương pháp ẩn giấu phức tạp để họ có thể triển khai các cuộc tấn công từ mạng lưới các container và máy chủ Docker", các nhà nghiên cứu kết luận.
"Vì chúng tương đối thuận tiện để triển khai trên đám mây, các máy chủ Docker đang trở thành một lựa chọn ngày càng phổ biến đối với các công ty. Tuy nhiên, điều này cũng khiến chúng trở thành mục tiêu hấp dẫn cho tội phạm mạng, những kẻ luôn tìm kiếm các hệ thống mà chúng có thể khai thác để trục lợi hoặc gieo rắc nỗi sợ hãi."
Các chuyên gia nghiên cứu bảo mật khuyên người dùng và các tổ chức chạy phiên bản Docker ngay lập tức kiểm tra xem họ có để phơi bày các điểm cuối API liên quan đến Docker trên Internet hay không, đồng thời đóng các cổng không sử dụng và tuân thủ các chỉ dẫn triển khai được đề xuất.
PTN ATTT (tham khảo: TheHackerNews)