fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Українські кіберактивісти використовували скомпрометовані Docker Honeypots для антиросійських DoS-атак

Новина

Українські організації неодноразово ставали жертвами кібератак, спонсорованих росією. На початку 2022 року проти низки державних органів було розгорнуто набір шкідливих програм під назвою WhisperGate. 23 лютого цього ж року, над Україною нависла нова загроза типу Wiper під назвою DriveSlayer, яка маскувалася під програму-вимагача PartyTicket. Але такі дії з боку зловмисників не могли залишитися без відповіді.

У період з 27 лютого по 1 березня 2022 року деякі honeypots Docker Engine були скомпрометовані для запуску двох образів Docker, націлених на російські та білоруські вебсайти в рамках denial-of-service (DoS) атаки. Цільові списки обох образів Docker частково співпадають з доменами, які, як повідомляється, використовує підтримувана урядом Українська ІТ-армія (УІА). Раніше УІА закликала своїх учасників здійснювати distributed denial-of-service (DDoS) атаки проти російських цілей. Проте існує ризик атак у відповідь з боку російських суб’єктів і такі атаки можуть бути спрямовані проти організацій, які залучаються для ненавмисних атак на урядові, військові та цивільні вебсайти.

Першочергова компрометація з використанням відкритого Docker Engine

Honeypot було скомпрометовано через відкритий API Docker Engine. Такий методзазвичай використовується в опортуністичних кампаніях (LemonDuck або WatchDog) для ураження неправильно налаштованих контейнерних систем.

Технічний аналіз

Перший виявлений образ Docker під назвою abagayev/stop-russia був розміщений на Docker Hub. Цей образ був завантажений понад 100 000 разів, але CrowdStrike Intelligence не може оцінити, яка частка завантажень була здійснена через скомпрометовані середовища. Образ Docker містить інструмент порівняльного аналізу HTTP на основі Go під назвою bombardier з хешем SHA256.

6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453

який використовує HTTP-запити для стрес-тестування вебсайту. В описаному випадку цей механізм був використаний у якості DoS-інструменту, який автоматично запускається при створенні нового контейнера на основі образу Docker. Після запуску підпрограма вибору цілі обирає випадковий запис із фіксованого списку цілей. Пізніші версії цього образу Docker альтернативно можуть вибрати один із перших 24 записів цільового списку залежно від часу доби.


Рисунок 1. Витяг зі списку цільових вебсайтів

Встановлений зразок було оновлено лише раз - 1 березня 2022 року. Різниця між двома версіями цього зразка полягає в розширенні списку цілей. Оновлений цільовий список містить російські сайти, які належать до секторів: урядового, військового, медіа, фінансового, енергетичного, роздрібної торгівлі, гірничодобувного, обробного, хімічної промисловості, виробничого, технологічного, рекламного, сільськогосподарського, транспортного та політичного. Також 1 березня 2022 року до списку були додані білоруські вебсайти ЗМІ, роздрібної торгівлі, державного та військового секторів. CrowdStrike Intelligence оцінює діяльність з розгортання цього образу Docker, як ймовірно, автоматизованого на підставі тісного перетину часових рамок та взаємодії з API Docker. Ця оцінка зроблена з помірною впевненістю на основі трьох окремих інцидентів з аналогічними часовими рамками.

Інший образ Docker називається erikmnkl/stoppropaganda. Цей образ було завантажено із Docker Hub понад 50 000 разів. Знову ж таки, частка завантажень зі скомпрометованих машин невідома. Образ містить спеціальну DoS-програму на основі Go під назвою stoppropaganda, яка має такий хеш SHA256

3f954dd92c4d0bc682bd8f478eb04331f67cd750e8675fc8c417f962cc0fb31f

який надсилає HTTP GET- запити до цільових вебсайтів, що призводить до перенавантаження цих ресурсів. Атака була зосереджена на російських та білоруських сайтах в тих самих секторах: урядовий, військовий, енергетичний, гірничодобувний, роздрібна торгівля, ЗМІ та фінанси. Крім того, жертвами нападу стали три литовські медіа.


Рисунок 2. Витяг зі списку цільових вебсайтів

Виявлення CrowdStrike

Платформа CrowdStrike Falcon захищає своїх клієнтів від будь-якої експлуатаційної діяльності. На рисунку 3 показано, як за допомогою хмарної моделі машинного навчання Falcon, припиняється шкідливий процес DoS із образу erikmnkl/stoppropaganda (контейнер Docker запущений на хості з встановленим Falcon Sensor для Linux).


Рисунок 3. Хмарна модель машинного навчання CrowdStrike зупиняє шкідливий процес.

Оцінка

Обидва цільові списки образів Docker збігаються з доменами, які, як повідомляється, поширює підтримувана урядом України УІА. Організація закликала своїх членів здійснювати DDoS-атаки на російські цілі. CrowdStrike Intelligence вважає, що ці кіберактивісти майже напевно скомпрометували honeypots для підтримки проукраїнських DDoS-атак.

Індикатори компрометації (МОК)

Назва образуДайджест образів
abagayev/stop-russiaaf39263fe21815e776842c220e010433f48647f850288b5fe749db3d7783bcb0
abagayev/stop-russiaf190731012d3766c05ef8153309602dea29c93be596dcde506e3047e9ded5eae
erikmnkl/stoppropagandaaacbb56f72616bbb82720cb897b6a07168a3a021dd524782ee759bbec3439fda

Назва файлуХеш SHA256
bombardier6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453
stoppropaganda3f954dd92c4d0bc682bd8f478eb04331f67cd750e8675fc8c417f962cc0fb

Snort

Наступне правило Snort можна використовувати для виявлення HTTP-запитів, надісланих erikmnkl/stoppropaganda:


alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "Detects DoS HTTP request sent by erikmnkl/stoppropaganda tool"; flow:to_server, established; content:"Mozilla/5.0 (Windows NT 10.0|3B| Win64|3B| x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"; http_header; content:"GET"; http_method; classtype:trojan-activity; metadata:service http; sid:8001951; rev:20220420;)


iIT Distribution - офіційний дистриб'ютор рішень компанії CrowdStrike
на територіях України, Казахстану, Грузії та Узбекистану. У цей непростий час наполегливо рекомендуємо подбати про надійну кібербезпеку. А ми допоможемо в підборі оптимального рішення захисту та забезпечимо супровід на всіх етапах його впровадження.

Назад

Mobile Marketing
+