Immagini Docker con un numero di oltre 150.000 download sono state utilizzate per eseguire attacchi DDoS (distributed denial-of-service) contro una dozzina di siti web russi e bielorussi gestiti da organizzazioni governative, militari e di informazione.
Dietro gli incidenti si ritiene che ci siano attori filo-ucraini come gli hacktivisti, probabilmente sostenuti dall’esercito informatico del paese.
I cyberattacchi DDoS mirano a paralizzare le operazioni inviando più richieste di quelle che l’obiettivo può gestire e diventa non disponibile per i clienti legittimi.
Tra i 24 domini presi di mira ci sono quelli del governo russo, dell’esercito russo e dei media russi come l’agenzia di stampa TASS.
Due immagini Docker coinvolte negli attacchi sono state individuate dai ricercatori di minacce della società di cybersicurezza CrowdStrike, che le hanno osservate mentre venivano distribuite tra febbraio e marzo 2022.
Prendere di mira le API Docker esposte non è una novità, dato che bande di minatori di criptovalute come Lemon_Duck e TeamTNT lo fanno da anni.
La spiegazione tecnica di questo evento è fornita a Matrice Digitale dal ricercatore informatico Odisseus “Di infrastrutture mal configurate installate ed esposte su Internet ce ne sono una marea e questo tipo di attacchi sono facilmente realizzabili. Inoltre motori come Shodan, che trovano nodi su Internet viziati da specifiche vulnerabilità, rendono più facile l’estrazione di liste di indirizzi IP verso cui l’attacco diviene di sicuro successo.
Una Docker Image è una applicazione che ha tutto il necessario per funzionare; ma una capacità simile alle immagini Docker si ritrova in tutti i malware che vengono distribuiti oggi (sfruttando tecniche varie) per realizzare botnet. Proprio oggi segnalavo una botnet che in Italia conta 128 nodi.
Queste botnet qualcuno le contrasta? Ci pensa la ACN? Ci pensano i privati? Ci pensa la Postale? Chi ci pensa?
In ogni caso le botnet scoperte da CrowdStrike dubito che possano far “male” alla superpotenza sovietica, men che meno che possano contrastare la guerra in corso. Restano degli atti dimostrativi di scarsa rilevanza come tutta la propaganda sulla cyberwar, che come si è visto, non ha minimamente scalfito l’incidenza Russa nell’attacco all’Ucraina.“
CrowdStrike ha notato che i suoi honeypots con le API del Docker Engine esposte sono stati infettati da due immagini dannose recuperate direttamente dal repository di Docker Hub.
Le immagini si chiamano “erikmnkl/stoppropaganda” e “abagayev/stop-russia“, e sono state scaricate rispettivamente 50.000 volte e 100.000. I numeri non riflettono necessariamente il volume di host compromessi, che rimane poco chiaro in questo momento.
Gli obiettivi per gli attacchi DDoS sono stati scelti casualmente in un primo momento, ma le versioni successive delle immagini sono venute con una selezione basata sul tempo e una lista hardcoded di obiettivi, che sono stati colpiti in assalti di un’ora.
A causa del tipo di operazione e della portata degli obiettivi, CrowdStrike suggerisce che questa campagna è molto probabilmente sostenuta dall’esercito informatico ucraino o da hacktivisti simili.
Il dispiegamento di questi attacchi DDoS può attirare azioni di ritorsione da parte degli hacker pro-Russia, che potrebbero portare a lunghe e dannose interruzioni del servizio.
