ロシアやベラルーシのWebサイトにDDoS攻撃を仕掛けるDockerコンテナが、APIを介して広がっている。このコンテナに侵害されるとDDoS攻撃に加担させられる。その結果、何が起こるのか。
CrowdStrikeのDocker Engineハニーポットが2022年2月27日〜3月1日に攻撃を受け、Docker Engine APIを介して侵害された。Docker Engine APIは、コンテナエンジンの構成ミスに乗じて感染する「便乗型」攻撃によく利用される。CrowdStrikeは、企業のITインフラも知らない間にサイバー攻撃に加担させられる可能性があると警告している。
侵害されたハニーポットは、ロシアとベラルーシのWebサイトに対してDDoS(分散型サービス拒否)攻撃を仕掛けた。これらのWebサイトはウクライナIT軍(UIA)がターゲットとして識別・公開したドメインと重複している。
ターゲットのリストには、ロシアの政府、軍部、メディア、金融、エネルギー、小売り、鉱業、製造、化学、生産、IT、広告、農業、運輸、政党などのWebサイトが含まれている。ベラルーシのメディア、小売り、政府、軍部のWebサイト、リトアニアのメディア業界のWebサイトも挙げられている。
「親ウクライナ派のDDoS攻撃を支援するためにこのハニーポットを侵害したことはほぼ間違いない」とCrowdStrikeは2022年5月4日のブログ記事に記している。さらにUIAは、ロシアのターゲットに対してDDoS攻撃を仕掛けるようにボランティアメンバーに要請したことがあるとも補足している。
「利用されただけだとしても、ロシア政府、軍部、民間のWebサイトに攻撃を仕掛けたことに対して、ロシア政府を支援する脅威ファクターから報復攻撃を受ける可能性がある」
CrowdStrikeのアダム・マイヤーズ氏(インテリジェンス担当シニアバイスプレジデント)は「Container Journal」の取材に答え、ロシアやベラルーシ(または両国の代理として活動するグループ)が反撃し、攻撃に利用されたITインフラを無効化するかもしれないと言う。
同社のブログによると、Dockerイメージ(通称abagayev/stop-russia)は「Docker Hub」でホストされ、10万回以上ダウンロードされた。「Dockerイメージには、SHA256ハッシュを備えるbombardierというGoベースのHTTPベンチマークテストツールが含まれている。このツールは、HTTPリクエストを使ってWebサイトのストレステストを行う」
このDockerイメージを基に新しいコンテナが作成され、テストツールを悪用してハードコードされたターゲットリストからランダムに対象を選択するDDoS攻撃が起動される。
2つ目のDockerイメージ(通称erikmnkl/stoppropaganda)は5万回以上ダウンロードされた。このイメージには、ターゲットのWebサイトにHTTP GETリクエストを送信してWebサイトを過負荷状態にするGoベースのDDoSプログラムが含まれている。
Copyright © ITmedia, Inc. All Rights Reserved.
インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...
SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...
HubSpot CMSにWebサイトの「定石」を実装 WACUL×100のパッケージ第1弾を提供開始
WACULと100は共同で、Webサイトの「定石」をHubSpotで実装する「Webサイト構築パッケージ...