Negli ultimi tempi, le istanze Docker mal configurate sono diventate il bersaglio di sofisticate campagne di cryptojacking che sfruttano la rete Tor per nascondere le attività malevole. Gli attaccanti approfittano di API Docker esposte senza adeguate misure di sicurezza, ottenendo così accesso a ambienti containerizzati. Utilizzando Tor, riescono ad anonimizzare la loro posizione e a occultare il traffico, rendendo molto più difficile individuare la fonte dell’attacco durante l’installazione dei miner di criptovaluta.

Attacco tramite API Docker esposte

L’attacco tipico inizia con una richiesta da un IP sospetto per ottenere la lista di tutti i container disponibili su una macchina presa di mira. Se non ci sono container presenti, viene creato un nuovo container basato sull’immagine “alpine”. Un passaggio critico è il montaggio della directory “/hostroot”, ovvero la radice del sistema host, all’interno del container: ciò consente al container di accedere e modificare file e directory del sistema principale, permettendo potenzialmente una container escape.

Installazione di Tor e distribuzione dei miner

Una volta ottenuto l’accesso, il cybercriminale esegue uno script codificato in Base64 che installa Tor all’interno del container. Da qui, viene scaricato ed eseguito un ulteriore script remoto ospitato su un dominio .onion, tipico della rete Tor. Questo meccanismo permette agli attaccanti di mascherare la propria infrastruttura di comando e controllo, evitando così rilevamento e blocchi, e di distribuire con facilità i payload dannosi come i miner di criptovaluta.

Modifica configurazione SSH e strumenti utilizzati

Il processo prevede anche la modifica della configurazione SSH del sistema compromesso, offrendo accesso remoto diretto agli hacker tramite una chiave SSH inserita nel file authorized_keys. Inoltre, vengono installati strumenti come masscan, libpcap, zstd e torsocks per aumentare le capacità di scansione, compressione e anonimizzazione del traffico di rete. Dopo aver raccolto informazioni sul sistema infetto e averle inviate al server di comando e controllo, viene consegnato un programma dropper che scarica e lancia XMRig, uno dei miner di criptovaluta più diffusi, configurato per lavorare su specifici pool e con wallet controllati dagli attaccanti.

Impatto e rischio per gli ambienti cloud

Questa tecnica è particolarmente efficace per evitare i sistemi di rilevamento automatico e semplifica la distribuzione su larga scala in ambienti cloud o containerizzati vulnerabili. Le campagne osservate hanno preso di mira settori tecnologici, finanziari e della sanità, segnalando una tendenza crescente degli attacchi contro ambienti cloud mal configurati per scopi di mining illecito.

Esposizione di segreti e misure di prevenzione

La situazione è aggravata dal fatto che numerosi segreti e credenziali, inclusi file di configurazione e notebook Python, vengono accidentalmente pubblicati in repository di codice pubblici, offrendo agli attaccanti ulteriori opportunità di penetrazione e raccolta informazioni sensibili. La protezione delle API Docker e la corretta gestione delle credenziali restano quindi elementi fondamentali per prevenire campagne di cryptojacking sempre più avanzate.