في تطور جديد في عالم الأمن السيبراني، أصبح استغلال واجهات برمجة التطبيقات غير المؤمنة في منصات Docker محور حملة برمجيات خبيثة تهدف إلى تحويل هذه المنصات إلى شبكات بوت لتعدين العملات الرقمية. هذه الهجمات، التي تستهدف تعدين عملة Dero، تتميز بقدرتها الشبيهة بالديدان على الانتشار إلى منصات Docker الأخرى المكشوفة وإدخالها في شبكة متنامية من برامج التعدين.

تحليل وتفاصيل الهجمات

رصدت شركة كاسبرسكي وجود جهة تهديد غير معروفة تستغل واجهة برمجة التطبيقات (API) الخاصة بـ Docker غير المؤمنة للوصول الأولي إلى بنية تحتية تعمل بالحاويات، ومن ثم تسليح هذا الوصول لإنشاء شبكة غير شرعية لتعدين العملات الرقمية. يتم ذلك من خلال برمجيتين خبيثتين: الأولى تُعرف باسم “nginx” التي تقوم بمسح الإنترنت للبحث عن واجهات Docker المكشوفة، والثانية تُعرف باسم “cloud” التي تعمل كعامل لتعدين العملات الرقمية Dero. كلا الحمولة مصممة باستخدام لغة Golang، وتم تصميم “nginx” بشكل خاص لتمويه نفسها كخادم الويب الشرعي nginx.

التأثير والإجراءات الأمنية

تعمل البرمجيات الخبيثة على تسجيل الأنشطة الجارية، إطلاق عملية التعدين، والدخول في حلقة لانهائية لتوليد شبكات (IPv4) عشوائية لتحديد المزيد من منصات Docker المعرضة للخطر. وعند التأكد من أن خدمة (dockerd daemon) عن بُعد تعمل وقابلة للاستجابة، تقوم “nginx” بإنشاء حاوية خبيثة على الهدف البعيد لإعدادها لتثبيت التبعيات لاحقاً.

تتضمن العملية أيضاً تثبيت أدوات مثل (masscan) و(docker.io) في الحاوية بحيث يمكن للبرمجية التفاعل مع خدمة Docker والقيام بالمسح الخارجي لإصابة الشبكات الأخرى. وفي المرحلة الأخيرة، يتم نقل الحمولة إلى الحاوية باستخدام أمر “docker -H cp -L /usr/bin/:/usr/bin”.

الرؤى والتوجهات المستقبلية

تشير التقييمات إلى تشابه هذه الهجمات مع حملة تعدين Dero التي وثقتها CrowdStrike في مارس 2023 واستهدفت تجمعات (Kubernetes) بناءً على العناوين المستخدمة. كما تم تحديد تكرار لاحق للحملة نفسها من قبل شركة Wiz في يونيو 2024. تُظهر هذه التطورات أن البيئات الحاوية معرضة للخطر من خلال الجمع بين عامل تعدين معروف وعينة جديدة تخلق حاويات ضارة وتُصيب الحاويات الموجودة.

أخيراً، تُبرز هذه الحملة الحاجة الملحة لتأمين واجهات (APIs) وتجنب تحميل البرمجيات المقرصنة من مصادر غير موثوقة. في ظل هذه التهديدات المتزايدة، يجب على الشركات تعزيز استراتيجياتها الأمنية وتطبيق أفضل الممارسات المعروفة في مجال الأمن السيبراني مثل استخدام جدران الحماية وتحديث الأنظمة بانتظام.

التفاعل والنقاش

كيف يمكن للشركات تحسين أمان بيئاتها الحاوية لحماية نفسها من مثل هذه الهجمات؟ وما هي الإجراءات الأخرى التي يمكن اتخاذها لتقليل المخاطر المحتملة؟ ندعو قراءنا لمشاركة آرائهم وتجاربهم في هذا المجال.