Het Unit 42-onderzoeksteam van securityspecialist Palo Alto Networks heeft de allereerste cryptojacking-worm geïdentificeerd die zich verspreidt via Docker-softwarecontainers. De worm, genaamd Graboid, misbruikt onbeveiligde Docker-hosts voor mining van de cryptomunt Monero.
Graboid heeft zich inmiddels verspreid op meer dan 2.000 onbeveiligde Docker-hosts, zo schrijft Silicon Angle. Hackers gebruiken de geïnfecteerde hosts om Monero te minen, een anonieme cryptomunt die uiterst moeilijk is om te traceren.
Zelfvoorzienend
Op het downloaden van een paar scripts van de command-and-control-server na, is de worm zelfvoorzienend. Eenmaal op een geïnfecteerde Docker-host begint hij meteen met cryptomining, terwijl hij op zoek gaat naar nieuwe slachtoffers.
Graboid kiest willekeurig drie potentiële doelen voor infectie. Zo installeert de worm zich op het eerste doel, stopt de miner op het tweede doel en begint vervolgens met mining op het derde doel.
“Deze procedure leidt tot een zeer willekeurig mining-gedrag. Als mijn host is gecompromitteerd, start de kwaadaardige container niet onmiddellijk. In plaats daarvan moet ik wachten tot een andere gecompromitteerde host mij kiest en mijn mining-proces start. In wezen wordt de miner op elke geïnfecteerde host willekeurig beheerd door alle andere geïnfecteerde hosts”, aldus de beveiligingsonderzoekers in een blogpost.
De onderzoekers van Unit 42 constateerde dat iedere miner zo’n 63 procent van de tijd actief is en dat een mining-proces 250 seconden duurt. Daardoor is het zeer moeilijk om de activiteit te detecteren.
Bescherming noodzakelijk
Inmiddels werken de onderzoekers samen met het Docker-team om de kwaadaardige containerimages te verwijderen. Daarnaast waarschuwen ze voor soortgelijke aanvallen in de toekomst.
“Als er ooit een krachtigere worm wordt gemaakt, kan deze veel meer schade veroorzaken. Het is dus absoluut noodzakelijk voor organisaties om hun Docker-hosts te beschermen”, aldus de onderzoekers.