Güvensiz docker portları siber suçlulara davetiye çıkardı

Kaspersky, açık konteyner ortamları üzerinden yayılan Dero kripto madencisi kampanyasını ortaya çıkardı. Siber güvenlik uzmanları, konteynerleştirilmiş altyapıları gaye alan karmaşık bir atak tespit etti.

Konteynerlerde bilinmeyen kripto madencilik tehdidi

Saldırganlar, Docker API’lerinin açıkta bırakıldığı durumları berbata kullanarak sisteme iki cins berbat maksatlı yazılım yerleştiriyor. Bunlardan biri Dero kripto para madencisi, oburu ise atağın yayılmasını sağlayan ziyanlı yazılım.

2025 yılında dünya genelinde her ay ortalama 485 adet Docker API varsayılan portu inançsız biçimde açık bulunuyor. Bu durum, siber saldırganların geniş bir gaye yüzeyine erişmesini sağlıyor. Açıkta kalan Docker API’lerine erişim sağlayan saldırganlar, ya var olan konteynerleri ele geçiriyor ya da Ubuntu tabanlı yeni makûs hedefli konteynerler oluşturuyor.

Ele geçirilen konteynerlere enjekte edilen “cloud” isimli makus emelli yazılım Dero madenciliği yaparken, “nginx” isimli öbür berbat emelli yazılım ise kalıcılığı sağlıyor ve yeni amaçları otomatik olarak tarayarak enfeksiyonu yayabiliyor.

Bu berbat gayeli yazılımlar Komuta ve Denetim (C2) sunucularına muhtaçlık duymadan bağımsız biçimde interneti tarıyor ve bulaştıkları konteynerler üzerinden yayılıyor. Kaspersky uzmanları, her enfekte konteynerin yeni akın kaynağı olarak fonksiyon gördüğünü ve bu nedenle enfeksiyonların süratli halde artabileceğini belirtiyor. Konteynerlerin yazılım geliştirme ve dağıtımda kritik bir rol oynaması, bu taarruzları bilhassa tehlikeli hale getiriyor.

Saldırganların “nginx” ve “cloud” isimlerini makus emelli belgenin içinde direkt ikili kod olarak gizlediği, böylelikle zararlının yasal bir araç üzere görünmesini sağladığı tespit edildi. Bu formül hem otomatik güvenlik sistemlerini hem de analistleri yanıltmayı hedefliyor.

Kaspersky, Docker API’lerini kullanan kurumların güvenlik tedbirlerini derhal gözden geçirmesini tavsiye ediyor. Bilhassa Docker API’lerinin gereksiz yere açıkta bırakılmaması ve zarurî ise TLS ile korunması gerektiği vurgulanıyor. Ayrıyeten, Kaspersky’nin Güvenlik İhlali Değerlendirmesi hizmetiyle devam eden yahut geçmişte fark edilmeden gerçekleşmiş hücumların tespit edilmesi öneriliyor.

Konteyner altyapılarında risklerin iş süreçlerini olumsuz etkileyebileceği ve özel güvenlik tahlillerine muhtaçlık duyulduğu belirtiliyor. Kaspersky Container Security tahlili, hem geliştirme basamağında hem de çalışma vakti sürecinde muhafaza sunuyor. Bu tahlil sırf emniyetli konteynerlerin çalışmasına müsaade veriyor, uygulamaları ve ağı izleyerek güvenliği sağlıyor.

Kaspersky ayrıyeten Yönetilen Tespit ve Müdahale (MDR) ile Olay Müdahalesi (Incident Response) hizmetleriyle tehditlerin tespitinden daima muhafazaya ve olay idaresine kadar kapsamlı takviye sağlıyor. Bu hizmetler, sinsi hücumlara karşı muhafaza sunarken kurumlardaki siber güvenlik işçisi eksikliğini tamamlıyor.