Jednomu člověku či skupině se podařilo přibližně za 10 měsíců vydělat v přepočtu dva miliony korun pomocí 17 Docker images, které byly umístěny v úložišti Docker Hub. Použilo je přibližně pět milionů uživatelů a obrazy byly k dispozici déle než 10 měsíců. Správcům repozitáře byl problém poprvé nahlášen už před osmi měsíci, přesto trvalo velmi dlouho, než byl problém odstraněn.
Docker images jsou vlastně zabalené předkonfigurované aplikace, které běží v kontejneru nad běžným operačním systémem. Pokud si je stáhnete třeba z Docker Hubu, ušetří vám to spoustu práce s instalaci a konfigurací. Jenže do úložiště může v zásadě kdokoliv nahrát cokoliv, takže se tam objevují obrazy plné chyb, výchozích hesel a někdy také s přídavkem úmyslných problémů.
Během loňských prázdnin bylo na Docker Hub z účtu docker123321 nahráno několik obrazů, které kromě své běžné funkce také těžily kryptoměny. Už v září si první uživatel stěžoval na podivné chování těchto obrazů a skrytou těžbu kryptoměny Monero.
Dlouhé měsíce se nedělo vůbec nic, nebyl zablokován účet, ani nebyly odstraněny problémové obrazy. Poté autor podpořen svým úspěchem přidal dalších 14 podobně připravených obrazů a tím svou činnost notně rozšířil. Opět na to bylo upozorněno, tentokrát dvěma společnostmi: v lednu na problém poukázala bezpečnostní firma Sysdig, v květnu se přidal Fortinet. Po dalším týdnu byl konečně proveden zásah a obrazy zmizely.
Chronologie celé kampaně s kryptoměnou Monero na Docker Hubu
Během této doby obrazy zaznamenaly pět milionů stažení a na použité Monero peněžence se objevilo 545 mincí z mnoha různých zdrojů. Chytrák zneužívající Docker Hub si tak přišel asi na 90 000 dolarů, tedy přibližně dva miliony korun.
Celý případ shrnula společnost Kromtech na svém blogu, kde celou situaci shrnuje slovy: Pro běžného uživatele je prosté stažení Docker image s Docker Hubu jako stažení a spuštění nahodilého programu z internetu, aniž by tušil, co přesně dělá.
Přestože byly obrazy už odstraněny, stále ještě budou jistě aktivní na mnoha serverech, kde těží dál. Zkontrolujte si proto, zda jste se také nestali obětí a někdo nepoužívá váš server k věcem, ke kterým nechcete. Zde je seznam závadných obrazů:
- docker123321/tomcat
- docker123321/tomcat11
- docker123321/tomcat22
- docker123321/kk
- docker123321/mysql
- docker123321/data
- docker123321/mysql0
- docker123321/cron
- docker123321/cronm
- docker123321/cronnn
- docker123321/t1
- docker123321/t2
- docker123321/mysql2
- docker123321/mysql3
- docker123321/mysql4
- docker123321/mysql5
- docker123321/mysql6
