▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Ambienti Docker sotto attacco con un cryptominer

Una sequenza di attacchi mirati agli ambienti Docker cerca di avviare container "ostili" che attivano un cryptominer

Business Vulnerabilità
Sono in corso attacchi massicci contro ambienti basati sulla virtualizzazione a container. Lo ha rilevato Aqua Security, azienda specializzata nella sicurezza delle applicazioni cloud-native. Gli attacchi sono mirati contro ambienti Docker e paiono fare parte di una campagna ben organizzata. Secondo l'azienda vanno avanti da mesi e superano spesso il centinaio al giorno. Un volume che lascia pensare appunto all'esistenza di un attore con una buona dose di risorse.

Gli attacchi iniziano con una scansione di massa di indirizzi IP a cui corrispondono ambienti Docker. Identificati gli ambienti, si verifica se hanno una porta aperta per comunicare con Docker da remoto. E se questa comunicazione prevede una forma di autenticazione. Se per una cattiva configurazione non si richiede autenticazione, si avvia l'attacco vero e proprio.

Gli attaccanti istanziano da remoto un container Ubuntu. A questo viene fatto eseguire uno shell script caricato da un server remoto. Questo script elimina alcune funzioni di sicurezza dell'ambiente Linux. Poi disattiva eventuali altri malware o cryptominer. Infine scarica il malware Kinsing e lo lancia.

kinsing aquaKinsing è un malware scritto in Go che avvia subito le comunicazioni con alcuni server di comando e controllo. In questo dialogo invia alcune informazioni e soprattutto scarica un altro shell script. Questo contiene alcuni comandi per eseguire una rilevazione degli host raggiungibili nel suo ambiente Docker. E per analizzare i file di sistema alla ricerca delle credenziali per accedervi.

Lo script si connette a tutti gli host rilevati e cerca di scaricarvi il primo script usato nell'attacco iniziale. Se questo attacco laterale funziona, Kinsing viene installato su tutti gli host raggiungibili. L'ultima cosa che fa ogni installazione di Kinsing è eseguire un cryptominer. Che inizia a "minare" Bitcoin.

Per evitare questa forma di attacco, spiega Aqua Security, ci sono alcune contromosse. Tra le principali, adottare una policy di autenticazione e autorizzazione nei confronti degli ambienti Docker. E garantire che vi venga seguito il principio dei privilegi minimi. I container istanziati dovrebbero essere scansionati preventivamente. I log di sistema vanno esaminati alla ricerca di comportamenti sospetti.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter