Actu
Nouvelle étude conduite par l’Unité42
octobre 2019 par Unité42
La nouvelle étude conduite par l’Unité42, unité de recherche de Palo Alto Networks qui dévoile le résultat de ses recherches sur « Graboid », le ver de cryptojacking (permettant le minage de monnaies virtuelles en utilisant la puissance de calcul des machines infectées) qui s’est diffusé sur plus de 2000 hôtes Docker non sécurisés pour miner du Monero. Ce nom a été choisi en hommage au film « Tremors » sorti en 1990, comme ce ver se comporte comme les vers des sables du film, en ce sens où il se déplace à grande vitesse par à-coup, mais reste assez inefficace au final. C’est la première fois qu’une attaque de ce genre a été identifiée sur Docker.
Ce qu’il faut retenir de cette enquête :
• Il s’agit du premier ver de cryptojacking de ce type sur Docker : les chercheurs de l’Unité 42 ont identifié un nouveau ver de cryptojacking qui s’est diffusé sur plus de 2000 hôtes Docker non sécurisés. C’est la première fois qu’un tel ver se répand en passant par les images conteneur du Docker Engine (Community Edition).
• Le malware mine du Monero : le malware recherchait régulièrement de nouveaux hôtes vulnérables à partir des serveurs C2 et choisissait la cible suivante au hasard pour se répandre. En moyenne, chaque mineur était actif 63 % du temps et chaque période de minage durait 250 secondes.
• Ce type d’activité malveillante est difficile à détecter : la plupart des logiciels de protection des points d’accès traditionnels n’inspectent pas les données et les activités au sein des conteneurs. Les outils de sécurisation dédiés au Cloud sont mieux équipés pour détecter ces activités.
• L’équipe de Docker a collaboré avec l’Unité 42 : Le personnel de Docker a enlevé les images conteneur malveillantes une fois que l’Unité 42 les a prévenus.
