Ханипоты Docker подверглись проукраинской DoS-атаке

Исследователи из компании CrowdStrike обнаружили DoS-атаку, взломавшую ханипоты Docker Engine. Атака была направлена на российские и белорусские сайты в условиях продолжающейся спецоперации на Украине. Согласно данным компании , ханипоты взломали четыре раза в период с 27 февраля по 1 марта 2022 года с помощью двух разных образов Docker. В обоих случаях атака проводилась на домены из списка целей IT-армии Украины.

Список целей IT-армии Украины с сайта CrowdStrike.

CrowdStrike связала эти атаки с проукраинской деятельностью против России. Компания предупредила о риске ответных действий со стороны хакерских группировок, поддерживающих Российскую Федерацию.

Ханипоты были взломаны через открытый API Docker Engine для заражения неправильно сконфигурированных контейнерных движков. Такой метод обычно используют группировки LemonDuck и WatchDogs, заявила в своем блоге CrowdStrike. Первый образ Docker был замечен в трех из четырех инцидентов и уже размещен на Docker Hub.

"Образ был загружен более 100 000 раз, но аналитики CrowdStrike не могут оценить количество загрузок из взломанной среды. Образ Docker содержит инструмент HTTP-тестирования bombardier, использующий HTTP-запросы для стресс-теста веб-сайта. В данном случае bombardier использовался как DoS-инструмент, автоматически запускаемый при создании нового контейнера на базе образа Docker", – добавила CrowdStrike.

Целью атаки являются веб-сайты правительственных и военных организаций, СМИ и розничной торговли в России и Беларуси. "Наши аналитики считают действия по развертке образа Docker автоматизированными, исходя из слишком частых взаимодействий с API платформы в определенном промежутке времени", – заявили в компании.

Второй образ Docker был загружен с Docker Hub более 50 000 раз и содержит DoS-программу под названием stoppropaganda, которая перегружает сайты из списка целей HTTP GET-запросами.

Специалисты компании заявили, что взлом ханипотов был попыткой хакеров поддержать проукраинские DDoS-атаки. “Мы уверенно можем давать такую оценку на основе списка целей IT-армии Украины.”, – говорят в Crowdstrike.

Ханипот — подключенная к Интернету система, которая служит приманкой для атакующих и позволяет обнаруживать и анализировать атаки. Ханипоты используют либо для исследования атак, либо для отвлечения злоумышленников от важных объектов в сети. Есть два вида ханитопов: ханипоты для вредоносных программ и спам-ловушки.

Не так давно мы писали про другую атаку на Docker. Хакеры из LemonDuck выбрали платформу своей мишенью и устанавливали майнеры криптовалюты на системы жертв.