Un nouveau type de cyberattaque visant les services Docker vulnérables vient d’être découvert. La campagne engendre un impact énorme sur les ressources du système, de la mémoire au CPU en passant par la bande passante. Elle repose sur les programmes 9hits et XMRig, d’après les chercheurs en sécurité de Cado Security.
Les spécialistes en cybersécurité de Cado Security ont partagé une découverte troublante concernant les cyberattaques contre les services et conteneurs Docker. Elles peuvent aussi nourrir un dessein de cryptominage. En cas d’atteinte, le système risque de connaître des dysfonctionnements, comme avec celui de la société britannique, ou un ralentissement.
Concrètement, des hackers ont déployé deux conteneurs sur une instance vulnérable de l’infrastructure honeypot de Cado Security. L’un porte sur le mineur XMRig et l’autre sur le programme 9hits. Ce dernier sert de charge utile afin d’accumuler des crédits à partir de trafic redirigé vers le site de la firme. L’échange s’effectue à partir d’une session Chrome sans interface graphique.
Une campagne malveillante aux lourds impacts
Le fournisseur déclare que ce type de cyberattaque entraîne surtout la surconsommation des ressources des hôtes infectés. L’application 9hits accaparera en effet une quantité importante de mémoire et de bande passante. Elle utilisera également une partie du CPU, dont l’intégralité de la puissance disponible est déjà absorbée par le mineur XmRig.
Cadot Security révèle que des dysfonctionnements se produisent ainsi sur les charges de travail originelles des serveurs corrompus. La firme ajoute que la cyberattaque est par ailleurs susceptible d’être perfectionnée afin de :
« […] laisser un shell distant sur le système, ce qui pourrait entraîner une violation plus grave ».
La société roumaine mexals/diicot en a déjà souffert. Elle avait conservé l’accès aux serveurs infectés au moyen d’une clé Secure Shell (SSH) et de XMRig.
Remarque : les experts IT indépendants peuvent chercher des missions en tant que consultants portés chez ces fournisseurs. Pour estimer sa rémunération avec ce statut, il est conseillé d’effectuer une simulation portage salarial sur un COMPARATEUR SOCIÉTÉ DE PORTAGE SALARIAL.
La cyberattaque est amorcée à l’aide d’une commande mettant en œuvre sur l’instance 9hits l’instruction nh.sh. Une instance déjà assortie de l’identifiant de session du hacker. Cado Security prévient que le programme peut de ce fait :
- S’authentifier sur les serveurs ;
- Recueillir une liste des plateformes Web sur lesquelles aller.
Le titulaire de l’identifiant de session acquiert un crédit sur sa plateforme après passage de 9hits sur le site. L’entreprise britannique pense que le logiciel a élaboré un système d’identifiant de session capable de s’adapter aux environnements non fiables.
Des statistiques impossibles à trouver
Un script bash est en parallèle mis à exécution sur l’autre conteneur incluant XMRig. Il comprend l’option -0 afin de préciser la ressource de minage sur laquelle s’appuyer.
Un pool public est utilisé par la majorité des déploiements de XMRig. Ce premier peut être assemblé aux informations publiques du pool afin de déterminer :
- Le nombre de dispositifs minant pour elle ;
- Le butin du détenteur.
Cado Security indique néanmoins que dans ce cas, le pool de minage est probablement privé. Ce qui bloque la recherche de données chiffrées sur la campagne. Le fournisseur poursuit que Synology utilise le domaine dscloud :
« […] pour le DNS dynamique, où le serveur Synology maintient le domaine à jour avec l’IP actuelle de l’attaquant. En effectuant une recherche pour cette adresse au moment de la rédaction, nous pouvons voir qu’elle se résout en 27[.]36.82.56, la même IP qui a infecté le honeypot en premier lieu ».
La technique réelle employée pour déployer le logiciel malveillant sur les hôtes Docker vulnérables reste pour l’heure floue. Cado Security pense toutefois qu’elle inclut le recours à des moteurs de recherche tels que Shodan. Celui-ci servirait dans la recherche de cibles potentielles. Après que ces dernières aient été définies, les serveurs cyberattaquants :
- Installent dessus deux conteneurs malveillants à l’aide de l’interface de programmation d’application Docker ;
- Recueillent des images prêtes à l’emploi de Docker Hub pour les applications XMRig et 9hits.
Selon les experts, il s’agit d’un type de campagne malveillante classique pour les attaques visant Docker.
Expert IT indépendant, ou associé à une entreprise de portage salarial devraient en prendre note. Une simulation portage salarial en ligne avec un COMPARATEUR SOCIÉTÉ DE PORTAGE SALARIAL serait nécessaire pour ceux qui sont encore salarié et qui pensent changer de statut.