Siber güvenlik araştırmacıları, her gün binlerce Docker sunucusunu hedefleyen kalıcı Bitcoin (BTC) madenci virüsü tespit ettiler.

Aqua Security tarafından 3 Nisan tarihinde yayımlanan raporda, “aylardır süren ve neredeyse her gün binlerce saldırının gerçekleştiği” bilgisi verildi.

“Bunlar, gördüğümüz en yüksek rakamlar, bugüne kadar tanık olduklarımızın çok ötesinde.”

Geniş kapsamlı ve özenle hazırlanmış bu saldırı, yasadışı Bitcoin madencilik saldırılarının “doğaçlama” biçimlerine zıt. Dolayısıyla arkasındaki aktörlerin önemli kaynaklara ve altyapıya sahip oldukları düşünülüyor.

Kinsing malware attack volumes, Dec. 2019-March 2020

Aralık 2019 - Mart 2020 arası Kinsing kötü amaçlı yazılım saldırıları. Kaynak: Aqua Security blog

Aqua Security, virüs analiz araçlarını kullanarak, kötü amaçlı Kinsing yazılımı olarak bilinen Golang tabanlı bir Linux aracısını tanımladı. Kötü amaçlı yazılım, Docker API bağlantı noktalarındaki hatalı yapılandırmaları kullanarak yayılıyor. Kinsing'i indiren ve daha sonra bu kötü amaçlı yazılımı ana bilgisayara yaymaya çalışan bir Ubuntu yazılım paketini çalıştırıyor.

Araştırmacılar saldırının amacının, açık kapıyı kullanarak sunucuya kripto madencisi yerleştirmek olduğunu söylüyor.

Infographic showing the full flow of a Kinsing attack

Kinsing saldırısının tam akış şeması. Kaynak: Aqua Security blog

Aqua, güvenlik ekiplerinin oyunlarını yükseltmesi gerektiğini söylüyor

Araştırmacılar, saldırganların daha sofistike ve iddialı saldırılar yapmak için yöntemlerini değiştirdiklerini söylüyor. Buna karşılık, kurumsal güvenlik ekiplerinin bu yeni riskleri azaltmak için daha sağlam bir strateji geliştirmeleri gerekiyor.

Aqua’nın önerileri arasında, ekiplerin tüm bulut kaynaklarını tanımlamaları, bunları mantıklı bir yapıda gruplandırmaları, yetkilendirme ve kimlik doğrulama politikalarını gözden geçirmeleri ve temel güvenlik politikalarını “en az ayrıcalık” ilkesine göre düzenlemeleri geliyor.

Yetkililer ayrıca, “şirketler, kaydolan kullanıcı kayıtlarını bulmak için günlükleri araştırmalı ve stratejilerini güçlendirmek için bulut güvenlik araçlarını uygulamalı” diyor.

Artan farkındalık

Geçen ay, Singapur merkezli unicorn Acronis, siber güvenlik anketinin sonuçlarını yayımladı. BT profesyonellerinin yüzde 86'sının, sahibinin izni veya bilgisi olmadan kripto para madenciliği yapmak için bilgisayarların işlem gücünün kullanıldığından endişe duydukları sonucu çıktı.