Dernières nouvellesLes conteneurs, nouvelles proies des cybercriminels

Les conteneurs, nouvelles proies des cybercriminels

-

Depuis plusieurs mois le cyberattaques montent en puissance en causant toujours plus de dgts. La dernire tendance mise en avant dans l’tude d’Aqua Security montre que les pirates s’en prennent aussi avec succs aux environnements conteneuriss et nativement cloud.

Spécialisé dans les solutions de sécurité des environnements cloud, virtualisés et conteneurisées, Aqua Security a analysé les données relatives à 17 521 cyberattaques repérées au 2nd semestre 2020, en hausse de 26% par rapport au semestre précédent. Compilées dans son dernier rapport Cloud Native Threat Report, elles mettent en lumière l’évolution des techniques utilisées par les cybercriminels. « Ils continuent de chercher d’autres façons pour attaquer les environnements cloud native », indique Aqua Security. « Nous avons identifié des attaques massives visant des supply chain, des processus d’auto-construction de référentiels de code, des registres ainsi que des fournisseurs de services d’intégration continue ce qui n’était pas des vecteurs courants dans le passé ». Derrière ces campagnes, plusieurs objectifs ressortent : piéger ces environnements à des fins de cryptominage (41%) ou installation de porte dérobée (36%) pour accéder au réseau et au SI d’une victime.

Les offensives ciblant les environnements conteneurisées peuvent être menées via des images dotées de capacité d’obfuscation ou de commandes malveillantes. Au second semestre 2020, un vecteur de compromission a été observé visant à corrompre l’image directement sur un hôte cible. « Les attaquants ont utilisé un package Docker SDK for Python pour envoyer des commandes à une API Docker mal configurée. La séquence d’attaque a commencé en envoyant des requêtes GET pour explorer le serveur Docker et des requêtes POST pour construire et exécuter une image corrompue sur un hôte cible », explique AquaSecurity. Au second semestre 2020, 3,78 images par jour ont été utilisées à des fins de compromission contre 2,75 un an plus tôt, montrant que les attaquants diversifient leurs techniques d’approches. Dans le même temps, le nombre d’attaques directes a largement progressé, dépassant en moyenne les 97 contre à peine 13 au seconde semestre 2020.

Des adresses IP malveillantes non détectées

« Toutes les adresses IP utilisées dans les attaques étaient liées à des services cloud et d’hébergement de fournisseurs. Nos pots de miel ont enregistré du trafic entrant en provenance de Russie (17,3%) et le États-Unis (15,9%). Étonnamment, seulement 13,43 % des adresses IP sont marquées comme malveillantes dans listes de blocage. Cela signifie que les systèmes de détection et de prévention du réseau qui reposent sur les listes de blocage populaires seront généralement inefficaces pour détective et prévenir de telles communications », peut-on également lire dans le rapport. En moyenne, les attaquants mettent 5 heures pour scanner un honeypot, mais quelques minutes pour les plus rapides et jusqu’à 24h pour les plus lents. Le temps de découverte médian est d’environ une heure.

Dans le cadre de son rapport, AquaSecurity a établi les spécificités des cyberattaques visant les containers en se basant sur le framework MITRE ATT&CK classiquement répandu en matière de cybersécurité. Avec à la clé plusieurs constats comme le fait que les pirates continuent d’utiliser des vers pour détecter et infecter des hôtes vulnérables, de télécharger des fichiers malveillants lors de l’exécution des containers en vue de piéger des sites web du code corrompu. Ils peuvent aussi réaliser des offensives exploitant principalement un port d’API Docker mal configuré exposé sur le web et autorisant des accès au trafic web via des appels entrants. « Au dessus de l’habituel vecteur d’attaques contre des API mal configurées, nous avons également vu des fichiers de construction sur un hôte écrits en base64 », poursuit AquaSecurity.

Dernières Nouvelles

Un jeune élu communal du Cher fait un tour de la Haute-Marne à la recherche d’initiatives locales

Raphaël Ruegger, élu local du Cher, âgé de 21 ans fait un symbole de France des municipalités pour trouver "les idées qui marchent" et les réduire chez lui. Il parcourt pendant une semaine la Haute-Marne.

Gérald Darmanin à Marseilce : trafics de drogue, « ce premier responsabce, c’est ce consommateur »

Gérald Darmanin est à Marfortificationilun pour deux jours. un ministre de l'Intérieur fait un partie sur la stratégie de lutte contre uns trafic de stupéfiants alors que uns morts dans uns règunments de compte fortification multiplient dans un département.

VIcommeO. A l’Assemblée Nationale, les premiers pas comme Quentin Bataillon et Andrée Taurinya, nouveaux députés stéphanois

ceux-ci ont fait leurs premiers pas au Palais Bourbon puis participé à leur première séance dans l'hémicycle. Andrée Taurinya puis Quentin Bataillon ont été élus députés de la Loire le dimanche 19 juin inédit. Une semaine entre découverte, éproposition puis formalités administratives. Avec leur premier rendez-vous majeur : la première séance dans l'hémicycle pour la désignation du président.

Assemblée par Corse : la session spéciale sur la dérive mafieuse aura lieu « très rapiparment »

Jeudi 30 juin, une question oraun du groupe Core in Fronte a relancé un débat sur la session spéciaun de l'Assemblée de Corse concernant la dérive mafieuse dans l’îun. Celun-ci "halo lieu rapidement, à l'automne hominien", a répondu l’Exécutif.

Washington gèle avec d’un milliard de dollars d’avoirs aux Etats-Unis d’un oligarque russe

Le Trésor américain manifeste avoir gelé plus d'un milliard contre dollars d'avoirs d'une société contrôlée par l'oligarque russe Suleiman Kerimov, déjà sanctionné par Washington.

A Lire Absolument

Appareil Lenovo Area S.p.A. sistema di monitoraggio Dual Band

La caméra IP sans fil Lenovo Area S.p.A. sistema...

Andrea Formenti parle de l’importance des technologies de l’information

L'informatique a pénétré pratiquement tous les aspects des affaires...

Pour vous