Docker, Inc.
ตอนนี้ได้รับการยืนยันแล้วว่าทีมนักเทียบท่าต้องดึงอิมเมจคอนเทนเนอร์ 17 ภาพที่มีแบ็คดอร์อันตรายเก็บไว้ภายใน แบ็คดอร์เหล่านี้ถูกใช้เพื่อติดตั้งสิ่งต่างๆเช่นซอฟต์แวร์การขุด cryptocurrency ที่ถูกแฮ็กและย้อนกลับเชลล์บนเซิร์ฟเวอร์ประมาณปีที่แล้ว อิมเมจ Docker ใหม่ไม่ผ่านกระบวนการตรวจสอบความปลอดภัยใด ๆ ดังนั้นจึงปรากฏใน Docker Hub ทันทีที่โพสต์ในเดือนพฤษภาคม 2017
ไฟล์ภาพทั้งหมดถูกอัปโหลดโดยบุคคลหรือกลุ่มเดียวที่ดำเนินการภายใต้การจัดการของ docker123321 ซึ่งเชื่อมโยงกับรีจิสทรีที่ถูกกำจัดในวันที่ 10 พฤษภาคมของปีนี้ มีการติดตั้งแพ็กเกจไม่กี่แพ็กเกจมากกว่าหนึ่งล้านครั้งแม้ว่าจะไม่ได้แปลว่าติดไวรัสหลายเครื่องจริงๆ อาจไม่เคยมีการเปิดใช้งานแบ็คดอร์ทั้งหมดและผู้ใช้อาจติดตั้งมากกว่าหนึ่งครั้งหรือวางไว้บนเซิร์ฟเวอร์เสมือนประเภทต่างๆ
ทั้ง Docker และ Kubernetes ซึ่งเป็นแอปพลิเคชั่นสำหรับจัดการการปรับใช้อิมเมจ Docker ขนาดใหญ่เริ่มแสดงกิจกรรมที่ผิดปกติตั้งแต่ช่วงเดือนกันยายน 2017 แต่ภาพถูกดึงออกมาเมื่อไม่นานมานี้ ผู้ใช้รายงานเหตุการณ์ที่ผิดปกติบนเซิร์ฟเวอร์คลาวด์และมีการโพสต์รายงานบน GitHub รวมทั้งหน้าเครือข่ายสังคมออนไลน์ยอดนิยม
ผู้เชี่ยวชาญด้านความปลอดภัยของ Linux อ้างว่าในกรณีส่วนใหญ่ที่การโจมตีประสบความสำเร็จจริงผู้ที่ดำเนินการโจมตีกล่าวว่าใช้ไฟล์ภาพที่ปนเปื้อนเพื่อเปิดซอฟต์แวร์ XMRig บางรูปแบบบนเซิร์ฟเวอร์ที่ตกเป็นเหยื่อเพื่อขุดเหรียญ Monero สิ่งนี้ทำให้ผู้โจมตีสามารถขุด Monero มูลค่ากว่า 90,000 ดอลลาร์ได้โดยขึ้นอยู่กับอัตราแลกเปลี่ยนปัจจุบัน
เซิร์ฟเวอร์บางเครื่อง ณ วันที่ 15 มิถุนายนอาจยังคงถูกบุกรุก แม้ว่าภาพที่ปนเปื้อนจะถูกลบไป แต่ผู้โจมตีอาจได้รับวิธีการอื่น ๆ ในการจัดการเซิร์ฟเวอร์ ผู้เชี่ยวชาญด้านความปลอดภัยบางรายแนะนำให้ล้างข้อมูลเซิร์ฟเวอร์ให้สะอาดและพวกเขาได้ไปไกลถึงการกล่าวเป็นนัยว่าการดึงภาพจาก DockerHub โดยไม่ทราบว่ามีอะไรอยู่ในนั้นอาจเป็นการปฏิบัติที่ไม่ปลอดภัยในอนาคต
อย่างไรก็ตามผู้ที่เคยปรับใช้อิมเมจโฮมเมดในสภาพแวดล้อม Docker และ Kubernetes เท่านั้นจะไม่ได้รับผลกระทบ เช่นเดียวกับผู้ที่เคยใช้ภาพที่ได้รับการรับรองเท่านั้น
