Hakerzy z TeamTNT znowu atakują

Hakerzy ci dali się poznać latem zeszłego roku, przeprowadzając wtedy ataki na źle skonfigurowane systemy zapewniające dostęp do chmury AWS, a następnie wykradając z nich kryptowaluty. Stworzone przez hakerów narzędzie najpierw skanowało internet w poszukiwaniu słabo zabezpieczonych i źle skonfigurowanych systemów, a po namierzeniu takiego systemu instalowało w nim oprogramowanie zdolne przeprowadzać ataki DDoS oraz kopać kryptowaluty.

Tym razem hakerzy atakują w ten sposób również kontenery Docker obsługiwane przez chmurę AWS, wykorzystując do tego celu szkodliwe oprogramowanie nowszej generacji, do którego wprowadzili kilka nowych rozwiązań oraz narzędzi.

Zobacz również:

W porównaniu z wcześniejszymi atakami, te przeprowadzane obecnie są dopracowane w najdrobniejszych szczegółach, a złośliwy kod jest bardzo dobrze napisany i zawiera błędów, które łatwo było dostrzec we wcześniejszych atakach inicjowanych przez tę hakerską grupę.

Dlatego informatycy apelują do administratorów dopowiadających za bezpieczeństwo systemów IT aby sprawdzili, że dostęp z zewnątrz do interfejsów API zarządzających kontenerami Docker jest wyłączony. Powinien on być wyłączony nawet wtedy, gdy interfejs jest chroniony przy użyciu bardzo silnego hasła. Okazuje się bowiem, że nawet takie hasło nie gwarantuje mu bezpieczeństwa.

Jeśli jednak system wymaga tego, aby interfejsy takie były wystawione i widoczne dla podmiotów z zewnątrz , to powinny być chronione przez bardzo silną zaporę ogniową. Powinna to być przy tym zapora korzystającą z listy wyszczególniającej dokładnie użytkowników, którzy mają prawo dostępu do takich interfejsów.

Zgłoś naruszenie/Błąd