Kinsing, il malware che prende di mira Docker (e mina Bitcoin)

2

La segnalazione arriva dai ricercatori di Aqua Security, specializzata in sicurezza su piattaforme cloud, che per mesi hanno seguito degli attacchi e monitorato migliaia di tentativi di infezione.

In questo caso le vittime sono state delle porte API aperte e mal configurate su Docker, utilizzate per eseguire un container Ubuntu su cui è installato malware, Kinsing, che a sua volta distribuisce un miner di criptovalute in questi container compromessi.

Kinsing è basato su Linux e scritto in Golang e una volta entrato in esecuzione, cerca di replicarsi in altri container ed host, collegandosi a diversi IP – tutti localizzati in Europa dell’Est – scaricando poi da ognuno le varie componenti necessarie per funzionare: comunicazione con i server C&C, lo script iniziale per la configurazione dell’ambiente ed il download del crypto-miner.

Il miner che utilizza Kinsing è pensato per minare Bitcoin e per attivarsi si collega in HTTP ad un host per ricevere ulteriori istruzioni ed iniziare le operazioni.

Lo script è stato progettato per disabilitare eventuali misure di sicurezza e cancellare i log, nonché rimuovere malware e crypto-miner concorrenti “uccidendo” i loro processi, eliminando i file associati e terminando qualsiasi contenitore Docker “dannoso”, fino a rimuoverne le immagini.

Ciliegina sulla torta, Kinsing riesce ad essere persistente aggiungendosi al crontab e verificando che non ci siano comandi “di troppo”, incluso il proprio.

Insomma, c’è poco da stare allegri. Abbiamo spesso parlato di DevSecOps, molte volte ridendoci sopra e pensando che ormai chi si occupa di sistemi deve essere non solo un sistemista, ma che uno sviluppatore e… Un esperto di sicurezza. Non è un caso che la diffusione di queste soluzioni cloud e container non vada di pari passo con il know-how in termini di tuning e sicurezza.

Il rischio di generare gigantesche botnet è proprio dietro l’angolo.

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.