Обнаружена масштабная кампания вредоносного ПО в контейнерных средах
Фото: gazeta.ru
Специалисты по кибербезопасности из «Лаборатории Касперского» выявили новую волну вредоносных атак, направленных на контейнерные среды, где активно используется современное программное обеспечение, такое как Docker и Ubuntu. В центре данной кампании — криптомайнер Dero, который активно заражает инфраструктуры компаний по всему миру.
Злоумышленники ищут плохо защищённые API Docker — это специальные программные интерфейсы, применяемые для управления контейнерной разработкой и развертывания приложений. Путём использования открытых API, киберпреступники получают возможность проникать в контейнеризированные среды, после чего загружают туда вредоносные программы. Среди них наибольшую опасность представляет не только сам криптомайнер Dero, но и дополнительный модуль, который способствует дальнейшему распространению угрозы.
Эти атаки нацелены преимущественно на те организации, которые пользуются контейнерными технологиями без должного внимания к их безопасности. В группу риска в первую очередь попадают IT-компании, разработчики ПО, поставщики облачных сервисов и хостинг-провайдеры.
Стратегия заражения и ключевые этапы атаки
Аналитики рассказали, что основной метод проникновения начинается с поиска открытых API Docker. Согласно сведениям поисковой системы Shodan, только в 2025 году ежемесячно фиксируется около 485 подобных уязвимых интерфейсов по всему миру, в том числе в России и странах СНГ. Найдя такие дырки в защите, злоумышленники либо скомпрометируют уже работающие контейнеры, либо создают новые — чаще всего внутри стандартного образа Ubuntu.
Вовнутрь скомпрометированных контейнеров внедряются два ключевых компонента — cloud и nginx. Cloud отвечает за основной вредоносный функционал и реализует криптомайнинг Dero, тогда как nginx необходим для маскировки и автоматического анализа сети в поисках новых жертв. Выбор названия «nginx» неслучаен: злоумышленники надеются, что незаметно скроются за именем популярного и часто встречающегося веб-сервера, чтобы как можно дольше оставаться нераспознанными.
Характерной чертой новой вредоносной кампании стало отсутствие единого центра управления: заражённые контейнеры действуют самостоятельно, сканируя сеть в автономном режиме для поиска других незащищённых контейнеров, тем самым уверенно расширяя охват вредоносного ПО.
Кому угрожает Dero и как минимизировать риски
В первую очередь под удар попадают компании, не уделяющие достаточного внимания защите своих контейнерных API, а также те, кто оставляет открытые интерфейсы для разработки или тестирования. Конечными жертвами зачастую становятся крупные предприятия высокотехнологичного сектора, разработчики программных продуктов, провайдеры хостинга и фирмы, предоставляющие услуги облачных вычислений.
Эксперты настоятельно рекомендуют всем организациям регулярно проверять настройки своих контейнерных сред, особенно если используется Docker и образы на базе Ubuntu. Необходимо обеспечить строгий контроль за публичными интерфейсами и следить за своевременным обновлением ПО. Рекомендуется также устанавливать специальные системы мониторинга и защиты, чтобы обнаруживать и блокировать подозрительную активность на ранних стадиях.
Дополнительной степенью защиты может стать отключение всех неиспользуемых API, ограничение доступа к интерфейсам из внешних сетей и применение многоуровневой аутентификации. Такие простые, но эффективные меры существенным образом снижают вероятность успешной кибератаки.
Оптимистичный взгляд: как современные средства безопасности помогают противостоять новым угрозам
Благодаря работе ведущих исследователей в сфере кибербезопасности, таких как команда «Лаборатории Касперского», массовые волны заражений всё чаще выявляются на раннем этапе. Современные решения для комплексной защиты информационных систем, а также автоматизированные инструменты аудита контейнерной инфраструктуры позволяют компаниям оперативно реагировать на появление новых угроз.
Внимательное отношение к вопросам цифровой безопасности и использование передовых антивирусных решений создают надёжный заслон на пути любых вредоносных программ, включая криптомайнеры вроде Dero. Продолжающаяся эволюция защитных технологий дает основание с оптимизмом смотреть на будущее, ведь цифровой мир становится всё безопаснее и доступнее для профессионалов и пользователей по всему миру.
