Docker, Inc.
Tagad ir apstiprināts, ka Docker komandai bija jāvelk 17 dažādi konteineru attēli, kuru iekšpusē bija uzglabātas bīstamas aizmugurējās durvis. Šīs aizmugures durvis tika izmantotas, lai aptuveni pagājušajā gadā serveros instalētu tādas lietas kā uzlauzta kriptonauda ieguves programmatūra un reversās čaulas. Jaunie Docker attēli netiek pakļauti nekādiem drošības audita procesiem, tāpēc tie tika iekļauti Docker Hub, tiklīdz tie tika publicēti 2017. gada maijā.
Visus attēlu failus augšupielādēja viena atsevišķa persona vai grupa, kas darbojās zem docker123321 roktura, kas ir saistīts ar reģistru, kas tika iztīrīts šī gada 10. maijā. Daži pakotnes tika instalētas vairāk nekā vienu miljonu reižu, lai gan tas nenozīmē, ka viņi patiešām ir inficējuši tik daudz mašīnu. Iespējams, ka ne visas aizmugurējās durvis kādreiz ir aktivizētas, un lietotāji, iespējams, ir instalējuši tās vairāk nekā vienu reizi vai ievietojuši dažāda veida virtualizētos serveros.
Gan Docker, gan Kubernetes, kas ir lietojumprogramma liela mēroga Docker attēlu izvietošanas pārvaldībai, sāka rādīt neregulāras darbības jau 2017. gada septembrī, tomēr attēli tika izvilkti tikai salīdzinoši nesen. Lietotāji ziņoja par neparastiem notikumiem mākoņu serveros, un ziņojumi tika publicēti vietnē GitHub, kā arī populārā sociālo tīklu lapā.
Linux drošības eksperti apgalvo, ka vairumā gadījumu, kad uzbrukumi patiešām bija veiksmīgi, tie, kas veica šos uzbrukumus, izmantoja sabojātos attēlu failus, lai cietušajos serveros palaistu kaut kādu XMRig programmatūru, lai iegūtu Monero monētas. Tas uzbrucējiem deva iespēju iegūt Monero vairāk nekā 90 000 USD vērtībā atkarībā no pašreizējā valūtas kursa.
Daži no 15. jūnija serveriem joprojām var tikt apdraudēti. Pat ja sabojātie attēli tiktu izdzēsti, uzbrucēji, iespējams, būtu ieguvuši kaut kādus citus līdzekļus, lai manipulētu ar serveri. Daži drošības eksperti ir ieteikuši serverus notīrīt tīrus, un viņi ir tik tālu aizgājuši, ka attēlu vilkšana no DockerHub, nezinot, kas tajos ir, var būt nedroša prakse nākotnē.
Tie, kuri tikai kādreiz ir izvietojuši mājās gatavotus attēlus Docker un Kubernetes vidēs, netiek ietekmēti. Tas pats attiecas uz tiem, kuri jebkad ir izmantojuši tikai sertificētus attēlus.
