Docker, Inc.
Sada je potvrđeno da je Dockerov tim morao izvući 17 različitih slika kontejnera u kojima je bilo pohranjenih opasnih stražnjih vrata. Te su backdoor datoteke korištene za instaliranje stvari poput hakiranog softvera za rudarstvo kriptovaluta i obrnutih ljuski na poslužiteljima otprilike posljednju godinu. Nove Dockerove slike ne prolaze kroz bilo kakav postupak sigurnosne revizije, pa su navedene na Docker Hub-u čim su objavljene u svibnju 2017. godine.
Sve slikovne datoteke prenio je jedan pojedinac ili grupa koja djeluje pod rukom docker123321, koji je povezan s registrom koji je očišćen 10. svibnja ove godine. Nekoliko je paketa instalirano više od milijun puta, iako to ne mora nužno značiti da su zapravo zarazili toliko računala. Možda nisu svi backdoor-ovi bili aktivirani i korisnici su ih možda instalirali više puta ili ih stavili na razne vrste virtualiziranih poslužitelja.
I Docker i Kubernetes, koji je aplikacija za upravljanje raspoređivanjem Dockerovih slika, počeli su prikazivati nepravilne aktivnosti već u rujnu 2017. godine, ali slike su povučene relativno nedavno. Korisnici su izvijestili o neobičnim događanjima na poslužiteljima u oblaku, a izvještaji su objavljeni na GitHubu, kao i na popularnoj stranici o društvenim mrežama.
Stručnjaci za sigurnost Linuxa tvrde da su u većini slučajeva kada su napadi zapravo bili uspješni, oni koji su izvršili spomenute napade koristili su zamrljane slikovne datoteke za pokretanje nekog oblika XMRig softvera na žrtviranim poslužiteljima kako bi iskopali kovanice Monero. To je napadačima dalo mogućnost iskopavanja Monera u vrijednosti od preko 90 000 američkih dolara, ovisno o trenutnim tečajevima.
Neki poslužitelji od 15. lipnja još uvijek mogu biti ugroženi. Čak i ako su nečiste slike izbrisane, napadači su mogli dobiti neka druga sredstva za manipulaciju poslužiteljem. Neki sigurnosni stručnjaci preporučili su čisto čišćenje poslužitelja i otišli su toliko daleko da su insinuirali da je povlačenje slika s DockerHuba, a da ne znaju što se u njima nalazi, možda nesigurna praksa u budućnosti.
Međutim, oni koji su samo primijenili domaće slike u okruženjima Docker i Kubernetes ne utječu. Isto vrijedi i za one koji su ikada koristili samo ovjerene slike.
