Docker, Inc.
Теперь подтверждено, что команде Докера приходилось извлекать 17 различных образов контейнеров, в которых хранились опасные бэкдоры. Эти бэкдоры использовались для установки таких вещей, как взломанное программное обеспечение для майнинга криптовалюты и обратные оболочки на серверах примерно в прошлом году. Новые образы Docker не проходят никакого аудита безопасности, поэтому они были перечислены в Docker Hub сразу после публикации в мае 2017 года.
Все файлы изображений были загружены одним человеком или группой, действующими под дескриптором docker123321, который привязан к реестру, который был очищен 10 мая этого года. Несколько пакетов были установлены более миллиона раз, хотя это не обязательно означает, что они действительно заразили такое количество машин. Не все бэкдоры могли быть когда-либо активированы, и пользователи могли устанавливать их более одного раза или размещать на различных типах виртуализированных серверов.
И Docker, и Kubernetes, приложение для управления крупномасштабными развертываниями образов Docker, начали демонстрировать нерегулярные действия еще в сентябре 2017 года, но образы были извлечены относительно недавно. Пользователи сообщали о необычных событиях на облачных серверах, а отчеты публиковались на GitHub, а также на популярной странице в социальных сетях.
Эксперты по безопасности Linux утверждают, что в большинстве случаев, когда атаки были действительно успешными, те, кто выполнял указанные атаки, использовали испорченные файлы изображений для запуска некоторой формы программного обеспечения XMRig на серверах-жертвах с целью добычи монет Monero. Это дало злоумышленникам возможность добывать Monero на сумму более 90 000 долларов в зависимости от текущего обменного курса.
Некоторые серверы по состоянию на 15 июня все еще могут быть взломаны. Даже если испорченные изображения были удалены, злоумышленники могли получить какие-то другие средства для манипулирования сервером. Некоторые эксперты по безопасности рекомендовали чистить серверы, и они дошли до того, что намекнули, что извлечение образов из DockerHub без знания того, что в них находится, может быть небезопасной практикой в будущем.
Однако те, кто когда-либо развертывал только домашние образы в средах Docker и Kubernetes, не пострадали. То же самое и с теми, кто когда-либо использовал только сертифицированные изображения.
![[FIX] «Ошибка загрузки конфигурации игры с веб-сайта» в Runescape](https://jf-balio.pt/img/how-tos/12/error-loading-game-configuration-from-website-runescape.png)
