Kryptojacking: 17 manipulierte Images von Docker Hub entfernt

Britta Niemann 16 Kommentare
Kryptojacking: 17 manipulierte Images von Docker Hub entfernt
Bild: Hacker_Silhouette | CC0 1.0

Das Team von Docker Hub, einem Online-Dienst für Docker-Images und -Repositories, hat nach einem Jahr nun 17 manipulierte Images entfernt. Diese enthielten eine Hintertür, welche auf den Geräten der Nutzer unter anderem einen Krypto-Miner installiert hat.

Die bösartigen Images, die auf Docker Hub hochgeladen wurden, sind alle von dem gleichen Konto („docker123321“) bereitgestellt worden und zum Teil mehr als eine Millionen Mal heruntergeladen worden. Docker Hub beinhaltet eine Registry für Docker-Images und Repositories, die es Systemadministrationen ermöglicht, mithilfe der Docker-Images innerhalb kürzester Zeit Apps in Container zu verpacken, welche dann sowohl etwa auf Servern, Arbeits- oder Heim-PCs gleichermaßen laufen.

Docker-Images blieben ein Jahr online

Da neue Docker-Images weder ein Sicherheitsaudit noch einen Prozess des Testens durchlaufen, wurden auch die verseuchten Images direkt im Portal von Docker Hub gelistet, zum ersten Mal im Mai vergangenen Jahres. Es dauerte jedoch ein paar Monate, bevor den ersten Nutzern eine bösartige Aktivität auf ihren Cloud-Servern auffiel, auf welchen Instanzen von Docker und Kubernetes ausgeführt wurden. Trotz mehrerer Beschwerden via GitHub und Twitter, sowie zahlreichen Untersuchungen verschiedener Sicherheitsfirmen zu diesem Thema (z.B. Aqua Security, Fortinet oder Sysdig), blieben die entsprechenden Images ein ganzes Jahr online und wurden erst am 10. Mai 2018 vom Docker-Hub-Team entfernt.

Kryptowährung Monero geschürft

Das Team von Kromtech hat einen vollständigen Bericht veröffentlicht, in dem die Beweise dafür sprechen, dass in den meisten Fällen der Trojaner XMRig, der nach der Kryptowährung Monero schürft, auf den Geräten der Betroffenen installiert wurde. In nur einer einzelnen Kampagne, welche von Kromtech ausfindig gemacht werden konnte, sollen so von dem oder den Tätern allein 544,74 Monero – umgerechnet derzeit über 75.000 Euro – erbeutet worden sein. Wie viel insgesamt über diese Masche mit fremder Rechenleistung erwirtschaftet werden konnte, ist unklar.

Darüber hinaus warnen die Sicherheitsforscher von Kromtech davor, dass einige der Images auch Reverse Shells enthalten und sich somit auch die Möglichkeit einer enthaltenen Hintertür ergibt, die das Löschen des gesamten Systems empfehlenswert macht, sollte man eines der 17 betroffenen Docker-Images benutzt haben.