اكتشفت شركة بالو ألتو نتوركس للحلول الأمنية، فيروسً خبيثًا لتعدين العملات المشفرة تعمل على الأجهزة المخترقة، كانت قد انتشرت في أكثر من 2,000 جهاز استضافة لأنظمة للحوسبة الافتراضية.
وأطلقت بالو ألتو نتوركس، على الفيروس اسم دودة “جرابويد” Graboid، المستمدة من فيلم “تريمرز” (هزّات) للعام 1990، ويوجد تشابه سلوكي بين هذه الدودة الخبيثة ودودة الرمال العملاقة في الفيلم المذكور من ناحية حركتها وفق خطوات سريعة، إلا أنها عمومًا لا تتمتع بالبراعة ذاتها.
ويصعب كشف هذا النوع من الأنشطة الخبيثة نظرًا لعدم قيام أغلب برمجيات الحماية التقليدية في النقاط النهائية بتمحيص البيانات والأنشطة الحاصلة في الحاويات.
وتمكنت الجهة المعادية من ترسيخ أول موطئ قدم لها عن طريق برنامج دوكر لإدارة الحاويات، وجرى للمرة الأولى تشغيل نسخة لنظام مخترق على جهاز مضيف.
ويتم نشر هذه البرمجية الخبيثة، والتي جرى تنزيلها من خوادم هجومية، بهدف تعدين العملات المشفرة مع مجموعة مونرو للتعدين.
وتقوم البرمجية الخبيثة بشكل متكرر بالبحث عن أجهزة استضافة ضعيفة أخرى بواسطة الخادم الهجومي، ويقع اختيارها بشكل عشوائي على الهدف الجديد لأجل نشر الدودة فيه.
وأظهر تحليل بالو ألتو نتوركس نشاط كل دودة تعدين بنسبة 63% من الوقت بمعدل وسطي، وتستغرق كل فترة تعدين 250 ثانية.
وقال جاي تشان، الباحث الأمني لدى بالو ألتو نتوركس: “أظهر بحث سريع على موقع شودان وجود أكثر من 2000 آلة افتراضية معرّضة بطريقة غير آمنة لشبكة الإنترنت، وتستطيع أي جهة معادية اكتساب سيطرة كاملة على محرك دوكر والجهاز المضيف من دون أي تخويل أو استيثاق”.
وينطلق المهاجمون من هذه الثغرة لنشر الدودة، وقد اخترق المهاجمون نظام إدارة دوكر، وشغلوا حاوية دوكر مستجلبة من موقع دوكر هاب Docker HubK، ثم عمدوا إلى تنزيل بضع نصوص برمجية وقائمة بعناوين أجهزة استضافة غير محصنة من الخوادم الهجومية، واختاروا الأهداف الأخرى لنشر الدودة بشكل متكرر.
وتقوم البرمجية الخبيثة بنشر الدودة وتعدين العملات الرقمية سرًا ضمن حاويات آلات الحوسبة الافتراضية.
ويقع اختيار الدودة بشكل عشوائي على ثلاثة أهداف في كل دورة عمل، ويتم تثبيت الدودة على الهدف الأول وإيقاف التعدين على الهدف الثاني وتشغيل التعدين على الهدف الثالث.
وتؤدي هذه العملية إلى سلوك عشوائي جدًا في التعدين، فإذا جرى اختراق أحد الأجهزة المضيفة، لا تبدأ الحاوية المصابة في العمل مباشرة، عوضًا عن ذلك، تبدأ عملية التعدين فور قيام أحد أجهزة الاستضافة الأخرى المخترقة بمنح إشارة بدء التعدين، ويمكن لأجهزة مخترقة أخرى إرسال إشارة بدء عملية التعدين.