Из официального реестра Docker Hub были удалены сразу 17 образов контейнеров, содержавших бэкдоры. Через них на серверы пользователей проникали майнеры и обратные шеллы.
Так как образы Docker перед публикацией в Docker Hub не проходят тестирование и серьезный аудит безопасности, вредоносные решения были размещены в реестре без особенного труда. Сообщается, что образы были активны с мая 2017 года по май 2018 года, после чего все же были замечены ИБ-экспертами.
Все 17 образов были загружены одним и тем же злоумышленником или группой лиц, скрывавшихся под псевдонимом docker123321. Один из образов был скачан и установлен более миллиона раз, а на счету других «всего лишь» сотни тысяч установок.
Сообщения о странных проблемах в Docker и Kubernetes начали появляться еще осенью прошлого года. Пользователи жаловались на вредоносную активность на своих облачных серверах. К примеру, такие сообщения нетрудно обнаружить на GitHub или в Twitter. Об этих инцидентах писали независимые специалисты по информационной безопасности, а также компании Sysdig и Aqua Security. Однако всерьез происходящим заинтересовались только аналитики Fortinet и Kromtech, и именно специалистам этих компаний удалось «соединить все точки» и разобраться в случившемся.
Эксперты Fortinet опубликовали свой отчет еще в середине мая 2018 года, вскоре после удаления 17 вредоносных образов с Docker Hub. Специалисты напрямую связывали проблему скрытого майнинга с образами Docker и аккаунтом docker123321.
Аналитики Kromtech, в свою очередь, обнародовали свою версию отчета только на этой неделе, и их исследование детально описывает все произошедшие события, начиная с 2017 года. Экспертам удалось установить даже даты загрузки вредоносных образов в Docker Hub. Хронологию событий, а также таблицу вредоносных образов можно увидеть ниже.
| Имя образа | Вид малвари |
|
docker123321/tomcat docker123321/mysql2 docker123321/mysql3 docker123321/mysql4 docker123321/mysql5 docker123321/mysql6 |
Контейнеры запускали обратный шелл на Python. |
|
docker123321/tomcat11 |
Контейнеры запускали обратный шелл Bash. |
|
docker123321/tomcat22 |
Контейнер добавлял SSH-ключ атакующих. |
|
docker123321/cron docker123321/cronm docker123321/cronnn docker123321/mysql docker123321/mysql0 docker123321/data docker123321/t1 docker123321/t2 |
Контейнеры запускали встроенные майнеры криптовалюты. |
|
docker123321/kk |
Контейнеры запускали встроенные майнеры криптовалюты.
|
Специалисты Kromtech пишут, что в подавляющем большинстве случаев злоумышленники заражали серверы пользователей майнером криптовалюты Monero, основанным на XMRig. По данным исследователей, только одна вредоносная кампания принесла преступникам 544,74 Monero, что равняется примерно 90 000 долларов США по текущему курсу.
Хуже того, многие вредоносные образы несли в себе функциональность бэкдоров (благодаря обратным шеллам). И даже если жертва прекращала использование опасного образа, атакующие все равно могли получить устойчивый доступ к скомпрометированной системе и «вернуться» позже.
В итоге специалисты советуют всем, кто успел воспользоваться вредоносными образами, полностью стереть систему и поднять все необходимое с нуля. В противном случае никаких гарантий отсутствия бэкдоров никто дать не сможет.
«Для обычных пользователей загрузка образа Docker из Docker Hub — это все равно что загрузка произвольных бинарных данных непонятно откуда с их последующим выполнением, без какого-либо понимания, что там внутри, но с надеждой на лучшее», — резюмируют эксперты Kromtech.
