5 Millionen Mal heruntergeladen: Bösartige Docker-Container schürfen Monero

Unbekannte haben diverse Docker-Images in das offizielle Repository der Containerverwaltungs-Software geladen, die mit versteckten Hintertüren versehen sind. Einmal ausgeführt, übernahmen die Angreifer die Kontrolle über den Container und installierten Krypto-Miner, um verdeckt die Währung Monero zu schürfen und so Geld für die unbekannten Angreifer zu scheffeln. Da die Container-Images über zehn Monate lang über Docker Hub verfügbar waren, wurden sie mehr als 5 Millionen Mal heruntergeladen. Die Angreifer haben damit Monero im Wert von umgerechnet mindestens 58.000 Euro verdient. Allerdings fällt der Monero-Kurs seit Anfang Januar stetig, womit die Beute von Tag zu Tag weniger wert ist.

Bei denen mit der Hintertür versehenen Docker-Images handelte es sich um 17 verschiedene Pakete, die alle von einem Nutzer mit dem Namen docker123321 hochgeladen wurden. Neben MySQL-Datenbank-Images und dem Apache-Tomcat-Server waren darunter auch Container, die sich als das Unix-Tool cron ausgaben. Admins, die Container dieses Nutzer heruntergeladen haben, sollten diese prüfen und sofort aus dem Verkehr ziehen. Die Docker-Hub-Betreiber haben die trojanisierten Container mittlerweile aus ihrem Repository entfernt.

Da es sich bei den fraglichen Images um Software handelte, die sich auch in den offiziellen Repositories von Docker Hub findet, hätten betroffene Anwender das Risiko dadurch vermeiden können, die gewünschte Software einfach aus diesem Bereich zu installieren. Hier sichert Docker Hub nämlich zu, dass die Images von vertrauenswürdigen Quellen stammen – MySQL-Images etwa direkt vom MySQL-Projekt.

Späte Reaktion von Docker Hub

Das erste bösartige Image von docker123321 wurde im Juli 2017 hochgeladen. Im September entdeckte ein Nutzer die Hintertür in einem der Pakete und beschwerte sich über GitHub bei den Projektverantwortlichen für Docker Hub. Auch nach dieser Beschwerde hinderte niemand docker123321 daran, weitere Images hochzuladen und alle seine Images waren weiterhin über Docker Hub verfügbar. Im Januar und Mai veröffentlichten die Sicherheitsfirmen Sysdig und Fortinet Berichte über diese Gefahr, aber weiterhin passierte nichts und die unbekannten Angreifer konnten ihre verdeckten Monero-Miner weiterhin auf den Systemen von Opfern platzieren.

Erst nachdem die Sicherheitsfirma Kromtech am vergangenen Dienstag einen weiteren Bericht veröffentlichte und die Chronologie der Ereignisse nochmal penibelst auflistete, reagierten die Verantwortlichen bei Docker Hub offenbar. Mittlerweile sind die fragwürdigen Images nicht mehr auffindbar.

Docker spart Zeit

Docker-Images enthalten typischerweise vorkonfigurierte Programme zusammen mit allem, was sie zur Ausführung benötigen. Sie können dann auf einem kompatiblen Betriebssystem gestartet werden. Über Docker Hub können Administratoren solche Images herunterladen, was in der Regel eine Menge Einrichtungszeit spart. Im Falle der bösartigen Images enthielt die Software typischerweise eine Reverse Shell, die sich mit dem Angreifer in Verbindung setzte und diesem die Möglichkeit gab, die Monero-Mining-Software auf das System zu laden und auszuführen. (fab)