CrowdStrike Intelligence advierte a las organizaciones que su infraestructura de TI podría usarse para lanzar ataques cibernéticos sin su conocimiento, después de que un honeypot de Docker Engine se viera comprometido para ejecutar ataques de denegación de servicio distribuido (DDoS) en sitios web rusos y bielorrusos.
CrowdStrike dijo que entre el 27 de febrero y el 1 de marzo de 2022, un honeypot de Docker que había configurado para identificar ataques cibernéticos basados en contenedores se vio comprometido a través de una API de Docker Engine expuesta, una técnica comúnmente utilizada por atacantes “oportunistas” para infectar motores de contenedores mal configurados.
Agregó que los honeypots estaban comprometidos para ejecutar dos imágenes Docker diferentes dirigidas a sitios web rusos y bielorrusos para ataques DDoS, y que estos sitios web se superponen con dominios ya identificados y compartidos como objetivos por el Ejército de TI de Ucrania (UIA) sancionado por el estado.
La lista de objetivos incluía sitios web rusos de una variedad de sectores, incluidos el gobierno, el ejército, los medios, las finanzas, la energía, el comercio minorista, la minería, la fabricación, los productos químicos, la producción, la tecnología, la publicidad, la agricultura y el transporte, así como los de los partidos políticos.
También se atacaron sitios web bielorrusos de los sectores de medios de comunicación, minoristas, gubernamentales y militares, así como tres sitios web de medios lituanos.
“CrowdStrike Intelligence evalúa que es casi seguro que estos actores comprometieron los honeypots para apoyar los ataques DDoS pro-ucranianos. Esta evaluación se realiza con gran confianza en función de los sitios web seleccionados”, dijo en una publicación de blog el 4 de mayo de 2022, y agregó que la UIA había pedido previamente a sus miembros voluntarios que lanzaran ataques DDoS contra objetivos rusos.
“Puede haber un riesgo de actividad de represalia por parte de los actores de amenazas que apoyan a la Federación Rusa, contra las organizaciones que se aprovechan para llevar a cabo inadvertidamente ataques disruptivos contra sitios web gubernamentales, militares y civiles”.
Hablando a Diario de contenedoresAdam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo que Rusia o Bielorrusia (o grupos que actúen en su nombre) podrían lanzar contraataques para desactivar la infraestructura de TI utilizada para atacarlos, dejando a las organizaciones como daños colaterales en la escalada del conflicto.
Según el blog CrowdStrike, la primera imagen de Docker, llamada abagayev/stop-russia, se alojó en Docker Hub y se descargó más de 100 000 veces. “La imagen de Docker contiene una herramienta de evaluación comparativa HTTP basada en Go llamada bombardero con hash SHA256 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453 que utiliza solicitudes basadas en HTTP para hacer una prueba de esfuerzo de un sitio web”, dijo el blog.
En este caso, agregó, se abusó de la herramienta para lanzar un DDoS que se inició automáticamente cuando se creó un nuevo contenedor basado en la imagen de Docker, con la rutina de selección de objetivos y luego eligiendo una entrada aleatoria de una lista codificada para atacar.
La segunda imagen de Docker, denominada erikmnkl/stoppropaganda, se descargó más de 50 000 veces desde Docker Hub y contenía un programa DDoS personalizado basado en Go que utilizaba un hash que enviaba solicitudes HTTP GET a una lista de sitios web de destino, sobrecargándolos con solicitudes.
Si bien las dos imágenes se descargaron más de 150 000 veces, CrowdStrike dijo que no pudo evaluar cuántas de estas descargas se originaron en la infraestructura comprometida.
Los datos publicados por Check Point Research el 28 de febrero de 2022 mostraron un aumento del 196 % en los ataques cibernéticos contra el sector militar y gubernamental de Ucrania, así como un aumento del 4 % en los ataques dirigidos a organizaciones rusas en general.
El 24 de marzo, por ejemplo, los piratas informáticos que operaban bajo la bandera de Anonymous afirmaron haber robado más de 35 000 archivos confidenciales del Banco Central de Rusia como parte de su guerra cibernética contra el estado ruso, que declaró poco después de que Vladimir Putin invadiera ilegalmente Ucrania.