Les attaques informatiques ciblent de plus en plus les environnements basés sur Docker, et des hackers trouvent des failles dans la configuration des instances Docker pour voler des ressources de calcul et miner des cryptomonnaies. Ces attaques, discrètes mais redoutables, utilisent des réseaux d’anonymisation tels que Tor pour masquer l’origine de leurs activités. Voici ce qu’il faut savoir pour se protéger.
Docker mal configuré : la cible des hackers
Les chercheurs en cybersécurité ont récemment observé une campagne qui exploite des failles de configuration dans les API Docker. En utilisant Tor, les attaquants cachent leur identité tout en déployant des mineurs de cryptomonnaie dans des systèmes compromis. Ces attaques commencent souvent par une simple requête envoyée à un serveur, cherchant à obtenir la liste des conteneurs présents sur la machine.
Si aucun conteneur n’est détecté, l’attaquant va en créer un à partir de l’image « alpine » de Docker. Il monte ensuite le répertoire racine du système hôte (« /hostroot ») à l’intérieur du conteneur. Ce geste est particulièrement risqué car il permet au conteneur d’accéder et de modifier des fichiers du système hôte, une opération connue sous le nom de « container escape ».
Les étapes de l’attaque : de Tor au cryptojacking
Une fois que le conteneur est en place, les attaquants déploient un script shell codé en Base64 pour installer Tor à l’intérieur du conteneur, afin de masquer leurs actions. Ils récupèrent ensuite un script distant depuis un domaine en « .onion », une méthode courante pour cacher l’infrastructure de commande et de contrôle (C&C). L’utilisation de Tor et de la résolution DNS via socks5h leur permet d’éviter toute détection et de renforcer leur anonymat.
L’attaque continue par la modification de la configuration SSH du système hôte. L’attaquant autorise ainsi un accès root à distance en ajoutant sa propre clé SSH au fichier ~/.ssh/authorized_keys, permettant une prise de contrôle complète du système.
Le rôle de XMRig dans l’attaque
Les chercheurs ont découvert que les attaquants installent des outils comme masscan, libpcap, zstd et torsocks pour collecter des informations sur le système compromis. Le processus final de l’attaque consiste à déployer un binaire qui agit comme un dropper pour le mineur de cryptomonnaie XMRig, un logiciel de minage de Monero. Le mineur est configuré avec les adresses de portails de minage, les wallets des attaquants et les informations sur les pools de minage.
Cela permet aux hackers de détourner de la puissance de calcul pour générer des Monero (XMR) sans que la victime ne s’en aperçoive, créant ainsi des pertes pour l’entreprise ciblée.
Comment se protéger de ce type d’attaque ?
Les attaques visant les environnements mal sécurisés sur Docker sont de plus en plus courantes, en particulier dans les secteurs technologiques, financiers et de la santé. Voici quelques mesures à adopter pour éviter d’être victime de telles intrusions :
- Configurer correctement les instances Docker : Assurez-vous que vos APIs Docker ne sont pas accessibles de l’extérieur sans une authentification appropriée. Limitez les droits d’accès au minimum nécessaire.
- Mise à jour régulière des systèmes : Gardez vos systèmes et logiciels Docker à jour pour corriger les vulnérabilités connues.
- Surveillance des activités réseau : Utilisez des outils de surveillance pour détecter toute activité suspecte, comme l’utilisation non autorisée de Tor ou des accès SSH anormaux.
- Accès sécurisé : Activez l’authentification multi-facteurs (MFA) et veillez à ce que les clés SSH ne soient pas exposées aux attaquants.
En outre, les entreprises doivent s’assurer qu’elles disposent de protocoles stricts pour la gestion des clés et des configurations des conteneurs. Une vigilance accrue est indispensable, notamment dans le cadre des environnements cloud, où ces types d’attaques sont fréquents.
Les cyberattaques, notamment celles menées pour cryptojacker les ressources, sont une menace en constante évolution. Se préparer à ce type de scénario est essentiel pour protéger vos systèmes des menaces croissantes dans le domaine de la cybersécurité.