Jeudi dernier, l'équipe de recherche sur les menaces de CrowdStrike a révélé que LemonDuck, un botnet de cryptomining bien connu, ciblait Docker sur les systèmes Linux pour générer de la monnaie numérique. Dans un blog, Manoj Ahuje de CrowdStrike a déclaré que le botnet exploitait les API Docker exposées à Internet pour exécuter des conteneurs malveillants sur les systèmes Linux. Docker est utilisé pour créer, exécuter et gérer des charges de travail conteneurisées. Étant donné que Docker fonctionne principalement dans le cloud, une instance mal configurée peut exposer une API Docker à lnternet, où elle devient exploitable par un acteur malveillant pour exécuter un mineur de cryptomonnaie à l'intérieur d'un conteneur illicite.

Les conteneurs Docker, une cible facile

Mike Parkin, ingénieur chez Vulcan Cyber, fournisseur de SaaS pour la remédiation des cyber-risques en entreprise, explique que la plupart du temps, les attaquants exploitent de mauvaises configurations pour compromettre les environnements conteneurisés, une preuve supplémentaire du manque de respect des meilleures pratiques par les entreprises du secteur. « Il existe des outils capables de protéger ces environnements contre une utilisation non autorisée, et on trouve aussi des outils de surveillance de la charge de travail pour signaler une activité inhabituelle », a déclaré M. Parkin dans une interview. « Il peut y avoir un manque de coordination entre les équipes de développement et les équipes de sécurité, mais il existe aussi des outils de gestion des risques capables de gérer cela », a-t-il ajouté. Ratan Tipirneni, président et CEO de Tigera, un fournisseur de sécurité et d'observabilité pour les conteneurs, Kubernetes et le cloud, ajoute que si Docker offre un haut degré de programmabilité, de flexibilité et d'automatisation, il augmente involontairement la surface d'attaque. « C’est d'autant plus vrai que les technologies de conteneurs sont plus largement adoptées par les entreprises », a déclaré M. Tipirneni dans une interview. « C’est donc une cible facile pour les attaquants qui veulent compromettre Docker, car il débloque beaucoup de puissance de calcul pour le cryptomining », a-t-il ajouté. 

Fonctionnement de LemonDuck

« Après avoir exécuté son conteneur malveillant sur une API exposée, LemonDuck télécharge un fichier image nommé core.png déguisé en script bash », a expliqué Manoj Ahuje de CrowdStrike. Core.png sert de pivot pour configurer un planificateur de tâches cronjob Linux, qui peut servir à programmer l'exécution automatique de scripts ou d'autres commandes. Le cronjob est ensuite utilisé pour télécharger un fichier déguisé appelé a.asp, qui est en fait un fichier bash. Si un système utilise le service de surveillance d'Alibaba Cloud - lequel peut détecter les activités malveillantes des instances du cloud si son agent est installé sur un hôte ou un conteneur -, a.asp peut le désactiver pour éviter la détection par un fournisseur de cloud. Le fichier a.asp télécharge et exécute également XMRig, un fichier xr qui mine la cryptomonnaie. XMRig est trompeur car il utilise un pool de proxy de minage de cryptomonnaie. « Les pools de proxy permettent de cacher l'adresse réelle du portefeuille de cryptomonnaies où sont effectuées les contributions de l'activité d’extraction en cours », a encore écrit M. Ahuje. La technique d'attaque de LemonDuck est furtive. Au lieu d'analyser en masse les plages d'adresses IP publiques à la recherche de surfaces d'attaque exploitables, il tente de se déplacer latéralement en recherchant des clés SSH. « C'est l'une des raisons pour lesquelles cette campagne n'a pas été aussi évidente que d'autres campagnes de minage menées par d'autres groupes », fait remarquer le chercheur de CrowdStrike. « Une fois les clés SSH trouvées, l'attaquant les utilise pour se connecter aux serveurs et exécuter ses scripts malveillants », a-t-il ajouté.

Les attaques du cloud gagnent en maturité

« Même si elle n'est pas rare, la désactivation des services de surveillance du cloud tels que Cloud Defense d'Alibaba par le logiciel malveillant montre une compréhension des environnements cloud », fait remarquer Ian Ahl, vice-président de la recherche sur les menaces et de l'ingénierie de détection chez Permiso, un éditeur de logiciels de sécurité du cloud. « Cibler les services Docker est une niche, mais ce n’est pas surprenant », a-t-il aussi déclaré dans une interview. « À mesure que les environnements cloud gagnent en maturité, les attaques contre ces environnements gagnent également en maturité. LemonDuck est aussi très territorial. Il désactive les logiciels malveillants concurrents s'ils sont découverts », a-t-il ajouté. « Mis à part la maturité et la compréhension des environnements cloud, il s'agit d'un mineur de crypto-monnaies tout ce qu’il y a de plus banal », a encore déclaré Ian Ahl. Pour M. Ahuje de CrowdStrike, le boom des cryptomonnaies, combiné à l'adoption du cloud et des conteneurs dans les entreprises, a offert une option financièrement intéressante aux attaquants. L’usage très répandu de Linux par les écosystèmes de cloud et de conteneurs a attiré l'attention des opérateurs de botnets comme LemonDuck. « Chez CrowdStrike, nous pensons que ce genre de campagnes menées par de grands opérateurs de botnets vont se multiplier à mesure que l'adoption du cloud continuera de croître », a encore déclaré M. Ahuje.