Potensial hədəflər sırasında texnoloji şirkətlər, proqram təminatı tərtibatçıları, hostinq provayderləri və bulud xidmətlərinin təchizatçıları var.
“Kaspersky Security Services” xidmətinin mütəxəssisləri kütləvi şəkildə konteyner texnologiyalarının (tətbiqin işə salınması üçün əsas əməliyyat sistemindən təcrid edilmiş texnologiya) istifadə edildiyi sistemləri “Dero” kriptomayneri ilə yoluxduran mürəkkəb kampaniyanı aşkara çıxarıblar. Hakerlər bu sistemlərə daxil olmaq üçün açıq “API Docker”dən – konteyner tərtibatı üçün nəzərdə tutulan açıq mənbə kodlu “Docker” proqram interfeyslərindən istifadə edirlər. Maynerlə yanaşı, hücumçular yoluxmalar zəncirini davam etdirməyə imkan verən şəbəkə qurdunu da işə salırlar.
Potensial qurbanlar. Kibertəhlükə təhlükəsizlik baxımından interfeyslərinə ciddi nəzarət tətbiq etməyən, konteyner infrastrukturu istifadə edən təşkilatları hədəfə alır. Potensial hədəflər sırasında texnoloji şirkətlər, proqram təminatı tərtibatçıları, hostinq provayderləri və bulud xidmətlərinin təchizatçıları yer alır.
Kibertəhlükə necə həyata keçirilir. Əvvəlcə hakerlər zəif təhlükəsiz şəkildə yayımlanmış “API Docker” axtarırlar. “Shodan” axtarış sisteminin məlumatlarına görə*, 2025-ci ildə dünyada ayda orta hesabla 485 “API Docker” standart portlarda** açıq şəkildə paylaşılıb və bu hallar Rusiya və MDB ölkələrində də müşahidə olunub. Daha sonra hücum bu şəkildə inkişaf edir: əvvəlcədən mövcud olan konteynerlər komprometasiya olunur, daha sonra isə standart, legitim “Ubuntu” görüntüsü əsasında yeniləri yaradılır. Bu konteynerlər iki zərərli komponentlə yoluxdurulur — “nginx” və “cloud”. “Cloud” əslində əsas “Dero” kriptomayneridir; “nginx” isə onun fəaliyyətini təmin edir və əlavə olaraq, şəbəkədə başqa qorunmayan konteyner platformalarını axtarır. Təcavüzkarlar “nginx” adından istifadə etməklə bu komponenti tanınmış legitim veb-server kimi göstərməyə çalışır və bununla da aşkarlanmaqdan yayınmağı hədəfləyirlər. Bu kampaniya daxilində zərərli proqramlar ənənəvi komanda-server infrastrukturundan istifadə edilmədən ötürülür: yoluxmuş konteynerlər bir-birindən asılı olmayaraq şəbəkəni skan edir və maynerin yayılmasını davam etdirə bilirlər.
“Bu metod yoluxmaların sayının kəskin artmasına səbəb ola bilər. Hər yoluxmuş konteyner, əgər hədəfə çevrilə biləcək şəbəkələrdə qabaqlayıcı təhlükəsizlik tədbirləri görülməzsə, potensial kibertəhlükə mənbəyidir,” – deyə Kaspersky-nin insidentlərə cavab komandasının rəhbəri Viktor Serqeyev qeyd edir. “Konteynerlər proqram təminatının hazırlanması, yerləşdirilməsi və miqyaslandırılması üçün olduqca vacibdir. Onlar geniş şəkildə bulud əsaslı mühitlərdə, “DevOps” və mikroservis arxitekturasında istifadə olunur, bu da onları kibertəhdidlər üçün cəlbedici hədəfə çevirir. Təşkilatlar konteynerlərdən daha çox asılı olduqca, təhlükəsizliyə kompleks yanaşma daha da aktuallaşır: etibarlı müdafiə həllər tətbiq edilməli, təhdidlər proaktiv şəkildə axtarılmalı, informasiya sistemlərində komprometasiya əlamətləri mütəmadi olaraq müəyyənləşdirilməli
və bu işlərə xarici mütəxəssislər də cəlb olunmalıdır.
Təcavüzkarlar fayl adlarını (“nginx” və “cloud”) birbaşa icraolunan faylın daxilinə yerləşdiriblər. Bu, klassik maskalanma üsuludur, yəni zərərli alətləri legitim proqramlar kimi göstərməyə imkan verir ki, bu da informasiya təhlükəsizliyi mütəxəssisləri və avtomatlaşdırılmış müdafiə sistemlərinin onları aşkar etməsini çətinləşdirir.
Kampaniyanın ətraflı texniki analizi “Securelist” saytında dərc olunub.
Kaspersky həlləri bu zərərli implantları bu adlarla aşkarlayır: “Trojan.Linux.Agent.gen” və “RiskTool.Linux.Miner.gen”
Konteyner platformalarına qarşı hücum risklərini azaltmaq üçün Kaspersky tövsiyə edir:
- “API Docker”dən istifadə edən şirkətlərə bütün potensial zəif infrastrukturların təhlükəsizlik baxımından operativ şəkildə yoxlamaq; “API Docker”lərin zəruri olmadıqca açıq şəkildə paylaşılmasından imtina etmək; əgər API-lər mütləq paylaşılmalıdırsa, onların TLS (Transport Layer Security) protokolu vasitəsilə qorumaq;
- Aktiv və əvvəllər məlum olmayan hücumların aşkar olunması üçün
“Kaspersky Compromise Assessment” kimi xidmətlərdən istifadə etmək; - Konteyner mühitlərinin qorunması üçün ixtisaslaşmış təhlükəsizlik həllərindən istifadə etmək, məsələn, “Kaspersky Container Security”. Bu həll konteyner əsaslı tətbiqlərin hazırlanmasının bütün mərhələlərində təhlükəsizliyi təmin edir; yalnız etibarlı konteynerlərin işə salınmasını nəzarətdə saxlayır, konteynerlər daxilində çalışan tətbiqlərin və servislərin fəaliyyətinə nəzarət edir, həmçinin şəbəkə trafikini izləyir və real vaxtda təhlükəsizlik təmin edir.
- Kaspersky tərəfindən təqdim olunan “Compromise Assessment”, “Managed Detection and Response” (MDR) və “Incident Response” kimi idarə olunan təhlükəsizlik xidmətlərini tətbiq etmək. Bu xidmətlər insidentlərin idarə olunmasının təhlükələrin aşkar edilməsindən tutmuş insidentdən sonra bərpa prosesinədək bütün mərhələlərini əhatə edir. Onlar şirkətlərə kibertəhlükələrdən qorunmaq, insidentləri araşdırmaq və əlavə ekspert biliklərinə çıxış əldə etmək üçün kömək edir.
* 2025-ci ilin yanvar-aprel aylarının məlumatları
** Analizə 2375 potunda təhlükəsiz şəkildə dərc edilmiş standart “API Docker” daxildir