Hacking
Εκμετάλλευση Docker APIs για Κρυπτονομίσματα μέσω Tor
Κακόβουλοι εκμεταλλεύονται Docker APIs μέσω Tor για κρυπτονομίσματα, στοχεύοντας ευάλωτα περιβάλλοντα cloud.
Η απειλή των κακοδιαχειρισμένων Docker APIs
Στο σύγχρονο τοπίο της κυβερνοασφάλειας, οι κακοδιαχειρισμένες Docker instances αποτελούν έναν ελκυστικό στόχο για κακόβουλες επιθέσεις. Μια πρόσφατη καμπάνια εκμεταλλεύεται το δίκτυο ανωνυμίας Tor για να εξορύξει κρυπτονομίσματα σε ευάλωτα περιβάλλοντα, χωρίς να γίνεται αντιληπτή. Οι ερευνητές της Trend Micro, Sunil Bharti και Shubham Singh, ανέφεραν ότι οι επιτιθέμενοι χρησιμοποιούν κακοδιαχειρισμένα Docker APIs για να αποκτήσουν πρόσβαση σε περιβάλλοντα containers και να κρύψουν τις δραστηριότητές τους μέσω του Tor, εγκαθιστώντας κρυπτονομιστές.
Η τεχνική του Tor και η ανωνυμία
Η χρήση του Tor σε αυτές τις επιθέσεις δεν είναι τυχαία. Προσφέρει στους επιτιθέμενους τη δυνατότητα να ανωνυμοποιήσουν την προέλευσή τους κατά την εγκατάσταση του miner στα παραβιασμένα συστήματα. Σύμφωνα με την εταιρεία κυβερνοασφάλειας, οι επιθέσεις ξεκινούν με ένα αίτημα από τη διεύθυνση IP 198.199.72[.]27, με στόχο την απόκτηση λίστας όλων των containers στη μηχανή. Εάν δεν υπάρχουν containers, ο επιτιθέμενος δημιουργεί ένα νέο βασισμένο στην εικόνα “alpine” και τοποθετεί τον κατάλογο “/hostroot” ως volume μέσα σε αυτό. Αυτή η πρακτική επιτρέπει στο container να έχει πρόσβαση και να τροποποιεί αρχεία στο σύστημα υποδοχής, αυξάνοντας τους κινδύνους ασφαλείας.
Η διαδικασία εκμετάλλευσης και η χρήση του Tor
Οι επιτιθέμενοι εκτελούν μια προσεκτικά σχεδιασμένη ακολουθία ενεργειών, που περιλαμβάνει την εκτέλεση ενός Base64-κωδικοποιημένου shell script για την εγκατάσταση του Tor στο container. Στη συνέχεια, κατεβάζουν και εκτελούν ένα απομακρυσμένο script από ένα .onion domain. Αυτή η τακτική κρύβει την υποδομή command-and-control (C&C) και αποφεύγει την ανίχνευση, ενώ παραδίδει κακόβουλο λογισμικό ή miners σε παραβιασμένα περιβάλλοντα cloud ή containers. Επιπλέον, χρησιμοποιούν το ‘socks5h’ για να δρομολογήσουν όλη την κίνηση και την επίλυση DNS μέσω του Tor, ενισχύοντας την ανωνυμία.
Πρόσβαση και διαμόρφωση του συστήματος
Μόλις δημιουργηθεί το container, αναπτύσσεται το shell script “docker-init.sh”, το οποίο ελέγχει για την παρουσία του καταλόγου “/hostroot” και τροποποιεί τη διαμόρφωση του SSH του συστήματος. Αυτή η διαδικασία επιτρέπει την απομακρυσμένη πρόσβαση, ενεργοποιώντας το root login και προσθέτοντας ένα SSH κλειδί ελεγχόμενο από τον επιτιθέμενο στο αρχείο ~/.ssh/authorized_keys.
Εργαλεία και τεχνικές για την επίτευξη του στόχου
Οι επιτιθέμενοι εγκαθιστούν ποικιλία εργαλείων όπως τα masscan, libpcap, zstd και torsocks, τα οποία επικοινωνούν με τον C&C server για να παρέχουν λεπτομέρειες σχετικά με το παραβιασμένο σύστημα. Τελικά, παραδίδουν ένα binary που λειτουργεί ως dropper για τον κρυπτονομιστή XMRig, μαζί με την απαραίτητη διαμόρφωση εξόρυξης, τις διευθύνσεις πορτοφολιών και τα URLs των mining pools.
Στόχοι και επιπτώσεις
Αυτή η προσέγγιση βοηθά τους επιτιθέμενους να αποφύγουν την ανίχνευση και να απλοποιήσουν την ανάπτυξη σε παραβιασμένα περιβάλλοντα. Η Trend Micro παρατήρησε ότι η δραστηριότητα στοχεύει εταιρείες τεχνολογίας, χρηματοοικονομικές υπηρεσίες και οργανισμούς υγειονομικής περίθαλψης. Οι ανακαλύψεις αυτές υποδεικνύουν μια συνεχιζόμενη τάση κυβερνοεπιθέσεων που στοχεύουν κακοδιαχειρισμένα ή ανεπαρκώς ασφαλισμένα περιβάλλοντα cloud για σκοπούς cryptojacking.
Η σημασία της ασφάλειας στον κώδικα
Η ανάπτυξη αυτή έρχεται καθώς η Wiz αποκάλυψε ότι μια σάρωση δημόσιων αποθετηρίων κώδικα εντόπισε εκατοντάδες επικυρωμένα μυστικά σε αρχεία mcp.json, .env και αρχεία διαμόρφωσης AI agent και Python notebooks (.ipynb), μετατρέποντάς τα σε θησαυρό για επιτιθέμενους. Η εταιρεία ασφάλειας cloud ανέφερε ότι βρήκε έγκυρα μυστικά που ανήκουν σε πάνω από 30 εταιρείες και startups, συμπεριλαμβανομένων και εταιρειών της λίστας Fortune 100.
Συμπεράσματα και προτάσεις
Πέρα από τα μυστικά, τα αποτελέσματα εκτέλεσης κώδικα σε Python notebooks θα πρέπει γενικά να αντιμετωπίζονται ως ευαίσθητα. Το περιεχόμενό τους, αν συσχετιστεί με την οργάνωση ενός προγραμματιστή, μπορεί να παρέχει λεπτομέρειες αναγνώρισης για κακόβουλους δράστες. Είναι κρίσιμο οι οργανισμοί να ενισχύσουν τις πρακτικές ασφαλείας τους, ειδικά σε περιβάλλοντα cloud και containers, για να αποτρέψουν τέτοιου είδους επιθέσεις.
