Украинские киберактивисты использовали скомпрометированные Docker Honeypots для антироссийских DoS-атак
Украинские организации неоднократно становились жертвами кибератак, спонсируемых россией. В начале 2022 года против ряда государственных органов был развернут набор вредоносных программ под названием WhisperGate. 23 февраля этого же года над Украиной нависла новая угроза типа Wiper под названием DriveSlayer, которая маскировалась под программу-вымогателя PartyTicket. Но подобные действия со стороны злоумышленников не могли остаться без ответа.
В период с 27 февраля по 1 марта 2022 года некоторые honeypots Docker Engine были скомпрометированы для запуска двух образов Docker, нацеленных на российские и белорусские вебсайты в рамках denial-of-service (DoS) атаки. Целевые списки обоих образов Docker частично совпадают с доменами, которые, как сообщается, использует поддерживаемое правительством Украинская ІТ-армия (УІА). Ранее УІА призвала своих участников осуществлять distributed denial-of-service (DDoS) атаки против российских целей. Однако существует риск ответных атак со стороны российских субъектов и такие атаки могут быть направлены против организаций, которые привлекаются для непреднамеренных атак на правительственные, военные и гражданские вебсайты.
Первоочередная компрометация с использованием открытого Docker Engine
Honeypot был скомпрометирован через открытый API Docker Engine. Такой метод обычно используется в оппортунистических кампаниях (LemonDuck или WatchDog) для поражения неправильно настроенных контейнерных систем.
Технический анализ
Первый обнаруженный образ Docker под названием abagayev/stop-russia был размещен на Docker Hub. Этот образ был загружен более 100 000 раз, но CrowdStrike Intelligence не может оценить, какая часть загрузок была осуществлена через скомпрометированные среды. Образ Docker содержит инструмент сравнительного анализа HTTP на основе Go под названием bombardier с хэшем SHA256.
6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453
который использует HTTP-запросы для стресс тестирования вебсайта. В описанном случае этот механизм был использован в качестве инструмента DoS, который автоматически запускается при создании нового контейнера на основе образа Docker. После запуска подпрограмма выбора цели выбирает случайную запись из фиксированного списка целей. Более поздние версии этого образа Docker альтернативно могут выбрать одну из первых 24 записей целевого списка в зависимости от времени суток.
Рисунок 1. Выписка из списка целевых веб-сайтов
Установленный образец был обновлен только раз – 1 марта 2022 года. Разница между двумя версиями этого образца заключается в расширении списка целей. Обновленный целевой список содержит российские сайты, принадлежащие секторам: правительственному, военному, медиа, финансовому, энергетическому, розничной торговли, горнодобывающему, обрабатывающему, химической промышленности, производственному, технологическому, рекламному, сельскохозяйственному, транспортному и политическому. Также 1 марта 2022 к списку были добавлены белорусские вебсайты СМИ, розничной торговли, государственного и военного секторов. CrowdStrike Intelligence оценивает деятельность по развертыванию этого образа Docker, по всей вероятности, автоматизированного на основании тесного пересечения временных рамок и взаимодействия с API Docker. Эта оценка сделана с умеренной уверенностью на основе трех отдельных инцидентов с аналогичными временными рамками.
Другой образ Docker называется erikmnkl/stoppropaganda. Этот образ был загружен из Docker Hub свыше 50 000 раз. Опять же доля загрузок из скомпрометированных машин неизвестна. Образ содержит специальную DoS-программу на основе Go под названием stoppropaganda, имеющую такой хэш SHA256
3f954dd92c4d0bc682bd8f478eb04331f67cd750e8675fc8c417f962cc0fb31f
который посылает HTTP GET-запросы в целевые вебсайты, что приводит к перегрузке этих ресурсов. Атака была сосредоточена на российских и белорусских сайтах в таких же секторах: правительственный, военный, энергетический, горнодобывающий, розничная торговля, СМИ и финансы. Кроме того, жертвами нападения стали три литовских медиа.
Рисунок 2. Выписка из списка целевых вебсайтов
Обнаружение CrowdStrike
Платформа CrowdStrike Falcon защищает своих клиентов от любой эксплуатационной деятельности. На рисунке 3 показано, как с помощью облачной модели машинного обучения Falcon прекращается вредный процесс DoS из образа. erikmnkl/stoppropaganda (контейнер Docker запущен на хосте с установленным Falcon Sensor для Linux).
Рисунок 3. Облачная модель машинного обучения CrowdStrike останавливает вредоносный процесс.
Оценка
Оба целевых списка образов Docker совпадают с доменами, которые, как сообщается, распространяет поддерживаемая правительством Украины УИА. Организация призвала своих членов совершать DDoS-атаки на российские цели. CrowdStrike Intelligence считает, что эти киберактивисты почти наверняка скомпрометировали honeypots для поддержки проукраинских DDoS-атак.
Индикаторы компрометации (МОК)
Название образа | Дайджест образов |
---|---|
abagayev/stop-russia | af39263fe21815e776842c220e010433f48647f850288b5fe749db3d7783bcb0 |
abagayev/stop-russia | f190731012d3766c05ef8153309602dea29c93be596dcde506e3047e9ded5eae |
erikmnkl/stoppropaganda | aacbb56f72616bbb82720cb897b6a07168a3a021dd524782ee759bbec3439fda |
Название файла | Хэш SHA256 |
---|---|
bombardier | 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453 |
stoppropaganda | 3f954dd92c4d0bc682bd8f478eb04331f67cd750e8675fc8c417f962cc0fb |
Snort
Следующее правило Snort можно использовать для обнаружения HTTP-запросов, отправленных erikmnkl/stoppropaganda:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "Detects DoS HTTP request sent by erikmnkl/stoppropaganda tool"; flow:to_server, established; content:"Mozilla/5.0 (Windows NT 10.0|3B| Win64|3B| x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"; http_header; content:"GET"; http_method; classtype:trojan-activity; metadata:service http; sid:8001951; rev:20220420;)
iIT Distribution – официальный дистрибьютор решений компании CrowdStrike на территории Украины, Казахстана, Грузии и Узбекистана. В это непростое время настоятельно рекомендуем позаботиться о надежной кибербезопасности. А мы поможем в подборе оптимального решения защиты и обеспечим сопровождение на всех этапах его внедрения.