Kaspersky, açık konteyner ortamları üzerinden yayılan Dero kripto madencisi kampanyasını ortaya çıkardı. Siber güvenlik uzmanları, konteynerleştirilmiş altyapıları maksat alan karmaşık bir akın tespit etti.
Konteynerlerde zımnî kripto madencilik tehdidi
Saldırganlar, Docker API’lerinin açıkta bırakıldığı durumları berbata kullanarak sisteme iki cins makûs gayeli yazılım yerleştiriyor. Bunlardan biri Dero kripto para madencisi, başkası ise taarruzun yayılmasını sağlayan ziyanlı yazılım.
2025 yılında dünya genelinde her ay ortalama 485 adet Docker API varsayılan portu inançsız formda açık bulunuyor. Bu durum, siber saldırganların geniş bir amaç yüzeyine erişmesini sağlıyor. Açıkta kalan Docker API’lerine erişim sağlayan saldırganlar, ya var olan konteynerleri ele geçiriyor ya da Ubuntu tabanlı yeni makus emelli konteynerler oluşturuyor.
Ele geçirilen konteynerlere enjekte edilen “cloud” isimli makûs hedefli yazılım Dero madenciliği yaparken, “nginx” isimli öteki berbat hedefli yazılım ise kalıcılığı sağlıyor ve yeni gayeleri otomatik olarak tarayarak enfeksiyonu yayabiliyor.
Bu makûs hedefli yazılımlar Komuta ve Denetim (C2) sunucularına gereksinim duymadan bağımsız biçimde interneti tarıyor ve bulaştıkları konteynerler üzerinden yayılıyor. Kaspersky uzmanları, her enfekte konteynerin yeni taarruz kaynağı olarak fonksiyon gördüğünü ve bu nedenle enfeksiyonların süratli formda artabileceğini belirtiyor. Konteynerlerin yazılım geliştirme ve dağıtımda kritik bir rol oynaması, bu akınları bilhassa tehlikeli hale getiriyor.
Saldırganların “nginx” ve “cloud” isimlerini makus hedefli evrakın içinde direkt ikili kod olarak gizlediği, böylelikle zararlının yasal bir araç üzere görünmesini sağladığı tespit edildi. Bu usul hem otomatik güvenlik sistemlerini hem de analistleri yanıltmayı hedefliyor.
Kaspersky, Docker API’lerini kullanan kurumların güvenlik tedbirlerini derhal gözden geçirmesini tavsiye ediyor. Bilhassa Docker API’lerinin gereksiz yere açıkta bırakılmaması ve zarurî ise TLS ile korunması gerektiği vurgulanıyor. Ayrıyeten, Kaspersky’nin Güvenlik İhlali Değerlendirmesi hizmetiyle devam eden yahut geçmişte fark edilmeden gerçekleşmiş hücumların tespit edilmesi öneriliyor.
Konteyner altyapılarında risklerin iş süreçlerini olumsuz etkileyebileceği ve özel güvenlik tahlillerine gereksinim duyulduğu belirtiliyor. Kaspersky Container Security tahlili, hem geliştirme kademesinde hem de çalışma vakti sürecinde müdafaa sunuyor. Bu tahlil sırf muteber konteynerlerin çalışmasına müsaade veriyor, uygulamaları ve ağı izleyerek güvenliği sağlıyor.
Kaspersky ayrıyeten Yönetilen Tespit ve Müdahale (MDR) ile Olay Müdahalesi (Incident Response) hizmetleriyle tehditlerin tespitinden daima muhafazaya ve olay idaresine kadar kapsamlı takviye sağlıyor. Bu hizmetler, sinsi hücumlara karşı muhafaza sunarken kurumlardaki siber güvenlik çalışanı eksikliğini tamamlıyor.
