Hacker missbrauchen Docker-Plattformen für Krypto-Mining

Eine Hackergruppe hat am 24. November eine neues Kryptojacking-System verwendet, das bis zu 59.000 IP-Netzwerke scannt, um Docker-Plattformen zu finden, deren API-Endpunkte online verfügbar sind, wie die Tech-Nachrichtenplattform ZDNet am 26. November berichtete.

Dem Bericht zufolge nimmt das System anfällige Docker-Plattformen ins Visier. Dort wird Krypto-Malware eingesetzt, mittels der sich die Hackergruppe durch das Mining von Monero (XMR) bereichert.

Das Massenscanning wurde hat die amerikanische Internetsicherheitsfirma Bad Packets LLC am 25. November erstmals entdeckt.

Troy Mursch, der Forschungsleiter und Mitbegründer von Bad Packets LLC, sagte, dass derartige Aktivitäten, die anfällige Docker-Instanzen ins Visier nehmen, nicht neu seien und recht häufig vorkommen würden. Im März 2018 meldete das Cybersicherheitsunternehmen Imperva, dass 400 Docker-Server Monero-Mining-Programme enthalten würden. Auf diese Server konnte man aufgrund einer API-Schwachstelle auch aus der Ferne zugreifen.

Hacker benutzen "klassischen" XMR-Krypto-Miner.

Mursch, der dieses System entdeckt haben soll, erklärte gegenüber ZDNet, dass die Angreifer den API-Endpunkt nutzen, um einen Alpine Linux OS Container zu starten, sobald sie einen anfälligen Host finden. Dieser Container führt dann einen Befehl aus, der ein Bash-Skript vom Server des Angreifers herunterlädt und ausführt. Dieses Skript soll dann einen "klassischen XMRRig Kryptowährungs-Miner" installieren.

Mursch zufolge haben Hacker an den beiden Tagen, an denen dieses Docker-System aktiv war, 14,82 XMR gemint. Bei Redaktionsschluss entspricht diese Summe etwa 835 US-Dollar.

Docker ist ein Entwicklerwerkzeug, dass die Erstellung, den Einsatz und die Ausführung von Software mittels Containern vereinfachen soll. Container ermöglichen es Entwicklern, eine Anwendung mit allen erforderlichen Bestandteilen, wie etwa Bibliotheken und anderen Abhängigkeiten, zusammenzufassen und als Paket zu liefern.

Um die neu erkannte Schwachstelle zu umgehen, empfiehlt Mursch Benutzern, die Docker-Instanzen betreiben, sofort zu überprüfen, ob ihre API-Endpunkte im Internet öffentlich angezeigt werden, diese Ports zu schließen und unbekannte Container zu beenden.

Am 25. November kündigte die große Kryptobörse BitBay an, Monero aufgrund von Bedenken im Zusammenhang mit Geldwäsche denotieren zu wollen. BitPay folgt damit dem Beispiel anderer Börsen, wie etwa OKEx, die die Kryptowährung denotiert haben, um die Richtlinien der Finanzaufsichtsbehörde Financial Action Task Force einzuhalten.