Начиная с 2017 года, преступники все чаще атакуют системы Docker и Kubernetes, уже к тому времени получившие широкое распространение. Большинство таких атак крайне просты: злоумышленники сканируют сеть в поисках неправильно настроенных систем с открытыми интерфейсами администратора, а затем захватывают уязвимые серверы и разворачивают на них малварь (например, для добычи криптовалюты).
Хотя в настоящее время такие атаки стали обычным явлением, многие веб-разработчики до сих пор не понимают, как правильно настроить Docker, оставляя свои серверы уязвимыми для злоумышленников. Наиболее распространенная из подобных ошибок — оставлять эндпоинты API для удаленного администрирования доступными через интернет без аутентификации.
В последние годы такие уязвимые серверы активно ищет и заражает малварь Doki, Ngrok, Kinsing (H2miner), XORDDOS , AESDDOS, Team TNT и так далее, затем разворачивая на серверах бэкдоры или майнеры.
Теперь же специалисты китайской компанией Qihoo 360 обнаружили нового вредоноса Blackrota, который тоже атакует уязвимые серверы Docker. Малварь представляет собой простой бэкдор-троян, по сути, являющийся упрощенной версией маяка CobaltStrike, реализованной на языке Go.
Пока обнаружена только версия малвари для Linux, и неясно, как именно она используется. Исследователи не уверены, существует ли версия для Windows, используется ли Blackrota для майнинга криптовалюты или мощные облачные серверы нужны злоумышленникам для DDoS-атак.
В связи с обнаружением очередного вредоноса исследователи в очередной раз подчеркивают, что Docker уже давно не является второстепенной технологией, и практически ежедневно становится мишенью для масштабных атак. Компаниям, веб-разработчикам и инженерам, использующим Docker, настоятельно рекомендуется ознакомиться с официальной документацией и как минимум разобраться в том, как правильно настроить аутентификацию.