CrowdStrike Intelligence advierte a las empresas que su infraestructura de TI podría usarse para lanzar ataques cibernéticos sin su conocimiento después de que se comprometiera un honeypot del motor Docker para llevar a cabo ataques de denegación de servicio distribuido (DDoS) contra sitios web rusos y bielorrusos.
CrowdStrike dijo que entre el 27 de febrero y el 1 de marzo de 2022, un honeypot de Docker que había configurado para identificar ciberataques basados en contenedores se vio comprometido a través de una API de motor de Docker expuesta, una técnica utilizada a menudo por «oportunistas». Usada por atacantes para infectar motores de contenedores mal configurados. .
Agregó que los honeypots estaban comprometidos para ejecutar dos imágenes Docker diferentes dirigidas a sitios web rusos y bielorrusos para ataques DDoS, y que estos sitios web se superponen con dominios ya protegidos por el Ejército de TI ucraniano (UIA) sancionado por el estado identificado y compartido como objetivos.
La lista de objetivos incluía sitios web rusos de una variedad de sectores, incluidos el gobierno, el ejército, los medios, las finanzas, la energía, el comercio minorista, la minería, la fabricación, la industria química, la tecnología, la publicidad, la agricultura y el transporte, así como los de los partidos políticos.
Los medios de comunicación bielorrusos, los sitios web minoristas, gubernamentales y militares y tres sitios web de medios lituanos también fueron atacados.
“CrowdStrike Intelligence cree que es casi seguro que estos actores comprometieron los honeypots para apoyar los ataques DDoS pro-ucranianos. Esta evaluación se realiza con gran confianza en función de los sitios web atacados”, dijo en una publicación de blog del 4 de mayo de 2022, y agregó que la UIA había instado previamente a sus miembros voluntarios a lanzar ataques DDoS contra objetivos rusos.
«Existe un riesgo potencial de represalias por parte de los actores de amenazas que apoyan a la Federación Rusa contra las organizaciones utilizadas indebidamente para realizar involuntariamente ataques perturbadores contra sitios web gubernamentales, militares y civiles».
Habla con diario contenedorAdam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo que Rusia o Bielorrusia (o grupos que actúen en su nombre) podrían lanzar contraataques para desactivar la infraestructura de TI que solían atacar, causando que las organizaciones dejaran daños colaterales en la escalada. conflicto.
Según el blog CrowdStrike, la primera imagen de Docker, denominada abagayev/stop-russia, se alojó en Docker Hub y se descargó más de 100 000 veces. «La imagen de Docker incluye una herramienta de evaluación comparativa HTTP basada en Go llamada Bombardier con el hash SHA256 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453 que utiliza solicitudes basadas en HTTP para hacer pruebas de estrés en un sitio web», dice el blog.
En este caso, se abusó de la herramienta para lanzar un DDoS que se inició automáticamente cuando se creó un nuevo contenedor basado en la imagen de Docker, con la rutina de selección de destino y luego seleccionando una entrada aleatoria de una lista codificada para atacar.
La segunda imagen de Docker, denominada erikmnkl/stoppropaganda, se descargó más de 50 000 veces desde Docker Hub y contenía un programa DDoS personalizado basado en Go que usaba un hash que enviaba solicitudes HTTP GET a una lista de sitios web de destino y los sobrecargaba con demandas.
Si bien las dos imágenes se descargaron más de 150 000 veces, CrowdStrike dice que no pudo estimar cuántas de esas descargas provinieron de la infraestructura comprometida.
Los datos publicados por Check Point Research el 28 de febrero de 2022 mostraron un aumento del 196 % en los ataques cibernéticos al sector militar y gubernamental de Ucrania, y un aumento del 4 % en los ataques a las organizaciones rusas en general.
Por ejemplo, el 24 de marzo, los piratas informáticos que operaban bajo la bandera de Anonymous afirmaron haber robado más de 35 000 archivos confidenciales del Banco Central de Rusia como parte de su guerra cibernética contra el estado ruso, que lanzaron poco después de la invasión ilegal de Ucrania por parte de Vladimir Putin. explicado.
