Компания Docker удалила 17 вредоносных контейнеров из своего репозитория. Специалисты Kromtech не могут в точности сказать, сколько раз применялись зараженные контейнеры, однако, по их оценкам, за последний год модули загрузили приблизительно 5 миллионов раз.

Администраторы ресурса удалили их еще 10 мая, после того как компания Fortinet обнаружила вредоносные контейнеры и опубликовала отчет об образах, использованных для майнинга криптовалюты. Благодаря общему кошельку Monero специалистам Fortinet удалось доказать общее происхождение всех скомпрометированных контейнеров.

«Внеся вредоносные контейнеры в реестр Docker Hub и подключаясь через них к системам пользователей, хакерам удалось добыть 544,74 токенов Monero, что эквивалентно $90 тысячам», — сообщает Kromtech. Вывод специалистов опирается на предыдущие находки Fortinet и Aqua Security, чьи сотрудники еще в феврале описали многочисленные способы использования контейнеров в преступных целях.

По данным аналитиков Kromtech, из 17 вредоносных контейнеров майнеры криптовалюты нашлись в семи. Прочие были намеренно неправильно сконфигурированы и в таком виде оставлены на Docker Hub, чтобы впоследствии преступники могли бы получить к ним доступ. Образы продвигались под видом средств для работы с Apache, Tomcat, MySQL, cron и другими популярными программными продуктами.

«Сегодня в открытом доступе находится немало неправильно сконфигурированных платформ управления контейнерами, таких как Kubernetes. С их помощью хакеры могут создавать полностью автоматизированные инструменты для добычи Monero», — предупреждают исследователи Kromtech. Kubernetes — это система управления контейнерами, оборудованная инструментами по автоматизации развертывания, обновления и мониторинга контейнеров.

Трюк с использование публичных репозиториев для сокрытия вредоносных контейнеров на видном месте известен уже давно. Ресурсы со сторонним кодом, такие как GitHub, Bitbucket и NuGet Gallery, жизненно необходимы разработчикам ПО, поскольку позволяют встраивать в программные проекты готовые функции, не изобретая каждый раз велосипед. Docker Hub экономит время программистов аналогичным образом. Однако, как и другие аналогичные порталы, он может подвергаться атакам киберпреступников.

В электронном письме, написанном в ответ на запрос Threatpost, Дэвид Лоуренс (David Lawrence), глава службы безопасности Docker, призвал пользователей к осторожности:

«Как и другие открытые репозитории, например GitHub, Docker Hub создан, чтобы приносить пользу IT-сообществу. Однако при работе с общедоступными репозиториями и открытым исходным кодом мы рекомендуем соблюдать несколько простых рекомендаций:

  • отбирать только тот контент, чьих авторов вы знаете;
  • сканировать образы перед их запуском;
  • повозможности использовать только проверенные официальные образы в Docker Hub и сертифицированное содержимое в Docker Store».

Специалисты Kromtech заявили, что повышенное внимание хакеров к общедоступным платформам управления, к числу которых принадлежит Kubernetes, было впервые зарегистрировано в начале 2018 года. В это время киберпреступники переключились с эксплойтов в Amazon Elastic Compute Cloud на эксплойты, специфичные для контейнеров. В некоторых атаках использовались сотни неправильно сконфигурированных консолей администрирования Kubernetes. Одна из наиболее серьезных акций была обращена против производителя автомобилей Tesla.

«Хакеры взломали используемую в Tesla консоль Kubernetes, не защищенную паролем. Учетные данные в одном из подов Kubernetes открыли доступ к среде AWS Tesla, которая содержала корзину Amazon S3, где хранились конфиденциальные данные, в том числе телеметрия. Помимо кражи данных хакеры добывали криптовалюту в одном из подов Tesla», — сообщили эксперты Kromtech.

Для корпоративных пользователей Docker предлагает инструменты безопасности, защищающие от компрометации контейнеров. Ранее компания также предоставляла бесплатное сканирование безопасности пользователям Docker Hub, но это предложение прекратило действовать в марте.

Эксперты считают, что разработчикам прочих контейнерных проектов необходимо внедрить аналогичные возможности отслеживания, чтобы защитить свои облачные экземпляры.

Категории: Вредоносные программы, Кибероборона