Le bot LemonDuck cible les instances cloud Docker pour exploiter la crypto-monnaie sur les systèmes Linux
Les chercheurs ont découvert jeudi le célèbre bot de cryptominage LemonDuck ciblant les instances cloud Docker pour exploiter la crypto-monnaie sur les plates-formes Linux.
Dans un article de blog, l’équipe CrowdStrike Cloud Threat Research a déclaré que le botnet LemonDuck avait tenté de monétiser ses efforts via des campagnes simultanées pour exploiter la crypto-monnaie comme Monero.
Les chercheurs affirment que Docker s’habitue principalement à exécuter des charges de travail de conteneur dans le cloud, une instance cloud mal configurée peut exposer une API Docker à Internet. Ensuite, un attaquant peut exploiter cette API pour exécuter un mineur de crypto-monnaie à l’intérieur d’un conteneur contrôlé par l’attaquant.
À mesure que l’adoption du cloud augmente dans plusieurs secteurs, l’utilisation d’attaques similaires à celle-ci continuera de se développer, a déclaré Dave Cundiff, CISO chez Cyvatar. Cundiff a déclaré que Docker et d’autres outils de ce type sont extrêmement bénéfiques pour améliorer le flux de travail quotidien des organisations afin de répondre aux besoins croissants de leurs clients. Cependant, Cundiff a déclaré que les administrateurs calculaient parfois mal le besoin de sécurité dans les environnements conteneurisés.
« Les conteneurs permettent de mieux sécuriser les environnements, mais certaines erreurs de configuration simples pourraient permettre ces types d’attaques », a déclaré Cundiff. « Comme le montre le rapport CrowdStrike, une API mal exposée à Internet permet aux attaquants de tirer parti de l’infrastructure cible, puis de pivoter en interne vers d’autres conteneurs. Une bonne hygiène de vos environnements est toujours la meilleure première étape pour protéger les environnements.
Bien que Docker offre un degré élevé de programmabilité, de flexibilité et d’automatisation, il a pour effet secondaire involontaire d’augmenter la surface d’attaque, a déclaré Ratan Tipirneni, président et chef de la direction de Tigera. Tipirneni a déclaré que c’est particulièrement vrai à mesure que les technologies de conteneurs sont adoptées plus largement par le marché grand public.
« Cela crée une cible facile pour les adversaires qui compromettent Docker, car cela libère une grande puissance de calcul pour le cryptomining », a déclaré Tipirneni. « Étant donné le degré élevé de programmabilité, de flexibilité et d’automatisation de l’infrastructure cloud, un attaquant peut utiliser les instances Docker comme point d’entrée initial, puis avoir la possibilité de se déplacer latéralement vers l’ensemble de l’infrastructure cloud. »
John Bambenek, principal chasseur de menaces chez Netenrich, a déclaré que Docker et d’autres systèmes automatisés sont une idée pour la crypto-monnaie car ils ne sont pas protégés et considérés comme pas trop essentiels. Tant que l’instance Docker ne traite pas de données critiques, elle est souvent considérée comme un outil DevOps sans importance, elle devient donc un fruit à portée de main, a expliqué Bambenek.
« En fin de compte, les organisations doivent contrôler leurs ressources DevOps et gérer leurs dépenses cloud », a déclaré Bambenek. « La gestion n’a pas besoin d’être stricte. Les entreprises du cloud devraient désactiver l’extraction de crypto-monnaie en général. Je ne peux pas penser à une seule entreprise qui a un besoin commercial d’exploiter Monero dans un travail Docker. Ce n’est pas exactement rentable. «