Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mag 31, 2019 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, News, RSS, Vulnerabilità 0
Una vera emergenza che avrebbe coinvolto migliaia di host Docker e che gli esperti di sicurezza stentano a contenere. L’attacco individuato da Trend Micro, che ne ha pubblicato i dettagli in questo report, ha caratteristiche che lo collocano a metà tra una botnet e un worm.
Docker è una piattaforma che permette di creare dei “pacchetti” (container) che contengono applicazioni in grado di girare su cloud come se fossero su una macchina virtuale, ma senza che sia necessaria la presenza di un intero sistema operativo per supportarle. La piattaforma è popolarissima e sfrutta una rete di Hub da cui è possibile scaricare e installare i container.
Nel dettaglio, i cyber-criminali individuati da Trend Micro prendono di mira gli host Docker che hanno API esposte su Internet attraverso la porta 2375 per violarne i sistemi di sicurezza tramite una tecnica di brute forcing.
Una volta ottenuto l’accesso, utilizzano uno script (ubu.sh) per caricare l’immagine infetta del container. Al suo interno sono presenti alcuni script aggiuntivi utilizzati dai pirati per installare il payload e diffondere ulteriormente i container infetti.
Per quanto riguarda il payload, si tratta di un classico miner in grado di sfruttare la potenza di calcolo del server per generare cripto-valuta (il solito Monero) che viene depositata sui conti dei pirati informatici. La scelta di Monero non è casuale.
Oltre a garantire un livello di anonimato superiore a quello di altre monete virtuali, Monero ha un’altra caratteristica utile ai cyber-criminali: mentre i miner di altre cripto-valute (per esempio Bitcoin) sono ottimizzati per l’uso con i processori grafici che eseguono calcolo parallelo, quelli di Monero offrono le migliori prestazioni con le normali CPU.
La vera “chicca” in questo attacco però riguarda il sistema di diffusione scelto dagli hacker. Il modulo a cui è affidato questo compito utilizza infatti Shodan (un motore di ricerca in grado di individuare i dispositivi collegati a Internet – ndr) per localizzare nuove potenziali vittime e avviare l’attacco.
Gli indirizzi IP degli host vulnerabili vengono inseriti in un file di testo (iplist.txt) e poi verificati uno per uno. Se al loro interno viene rilevato un miner già attivo, gli indirizzi vengono cancellati. In caso contrario parte l’attacco. Insomma: in questo modo i container infetti si diffondono autonomamente.
I ricercatori di Trend Micro hanno individuato l’attacco quando hanno analizzato un container “comparso” su un loro honeypot (i server usati dalle società di sicurezza come “falsi bersagli” per i malware) che proveniva da un Docker Hub chiamato zoolu2.
Sarebbe proprio questo, secondo i ricercatori, il repository all’origine dell’attacco. Ma da quanto va avanti? Dalle loro analisi risulta che le immagini sono state caricate nel mese di maggio, ma nel report sottolineano come i container siano stati più volte aggiornati ed è probabile, di conseguenza, che l’attacco sia iniziato prima.
Ora l’account di zoolu2 è stato disattivato, così come gli account Shodan usati per le ricerche e un altro account Docker (Pavlov32) che aveva le stesse caratteristiche di zoolu2. A quanto pare, però, una delle immagini container infette sarebbe stata già scaricata più di 10.000 volte.
Il suggerimento degli esperti di sicurezza per gli utenti è quello di controllare le impostazioni per verificare che container e API non siano raggiungibili dall’esterno, implementando sistemi di autenticazione per impedire intrusioni come queste.
Set 11, 2024 0
Set 04, 2024 0
Lug 22, 2024 0
Giu 05, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...