DoS-Angriff auf Russland nutzt Docker Engine

Forscher des Security-Anbieters CrowdStrike haben einen Denial-of-Service (DoS)-Angriff entdeckt, bei dem Docker-Engine-Honeypots kompromittiert wurden, um russische und weißrussische Websites zu Beginn des Angriffskriegs Russlands auf die Ukraine zu attackieren. Nach eigenen Angaben wurden die von Crowdstrike ausgelegten Honeypots zwischen dem 27. Februar und dem 1. März 2022 viermal mit zwei verschiedenen Docker-Images angegriffen.

Die Ziellisten überschnitten sich dabei mit Domains, die Berichten zufolge von der durch die ukrainische Regierung unterstützten Ukraine IT Army (UIA) genutzt werden. Die CrowdStrike-Experten gehen deshalb davon aus, dass die Angriffe mit pro-ukrainischen Aktivitäten gegen Russland in Verbindung stehen.

Zugleich bestehe allerdings ein erhöhtes Risiko für Vergeltungsmaßnahmen durch Bedrohungsakteure, die Russland unterstützen. Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike, warnt davor, dass sobald russische Cybersicherheitsanalysten die Quelle der Angriffe ermittelt hätten, könnte Russland oder Weißrussland - oder Akteure, die in ihrem Namen handeln - Gegenschläge starten, um die hinter dem DoS-Angriff steckende IT-Infrastruktur zu deaktivieren.

Nach Meinung von Meyers stellt dies auch eine potenzielle Bedrohung für Unternehmen dar, deren IT-Infrastruktur ohne ihr Wissen für Angriffe verwendet wird. Viele Organisationen wüssten gar nicht, inwieweit die von ihnen verwendete Container-Infrastruktur kompromittiert werden könne, so der Experte. Die meisten Container würden von Entwicklern bereitgestellt, die wenig Erfahrung im Bereich Cybersicherheit hätten. "Und so werden Organisationen zu Kollateralschäden, wenn der Konflikt zwischen Russland und der Ukraine weiter eskaliert", warnt Meyers.

Honeypots über offene Docker Engine API kompromittiert

Die Honeypots wurden laut CrowdStrike über eine exponierte Docker-Engine-API kompromittiert, eine Technik, die häufig von Kampagnen wie LemonDuck oder WatchDog verwendet wird, um falsch konfigurierte Container-Engines zu infizieren. Die Sicherheitsforscher stellten fest, dass das erste Docker-Image, das bei dem Angriff zum Einsatz kam, bei drei der vier Vorfälle verwendet und auf Docker Hub gehostet wurde.

"Dieses Image wurde über 100.000 Mal heruntergeladen, aber wir können nicht einschätzen, wie viele dieser Downloads von einer kompromittierten Infrastruktur stammen", erklären die Forscher. Das Docker-Image enthalte ein Go-basiertes HTTP-Benchmarking-Tool namens "bombardier", das HTTP-basierte Anfragen verwendet, um eine Website einem Stresstest zu unterziehen, heißt es weiter.

Zu den angegriffenen Zielen gehören die Websites der Regierung, des Militärs, der Medien und des Einzelhandels in Russland und Weißrussland. CrowdStrike vermutet, dass der Angriff automatisiert erfolgte, da sich die Interaktion mit der Docker-API zeitlich stark überschneidet.

Das zweite Docker-Image der Attacke sei mehr als 50.000 Mal von DockerHub heruntergeladen worden, so das Sicherheitsunternehmen. Das Image enthält nach den Angaben der Experten ein benutzerdefiniertes Go-basiertes DoS-Programm namens "stoppropaganda", das HTTP-GET-Anfragen an eine Liste von Ziel-Websites sendet und diese mit Anfragen überlastet. "Auch hier konzentrierte sich der Angriff auf Websites der russischen und weißrussischen Medien, Regierungsstellen, des Militärs, der Energiewirtschaft, des Bergbaus und des Finanzsektors."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.