Cyberthreat.id – Untuk pertama kalinya dalam sejarah, para peneliti menemukan perangkat lunak jahat (malware) Worm cryptojacking yang menyebar melalui perangkat (host) Docker yang tidak aman.

Para peneliti di Unit 42 Palo Alto Networks, perusahaan cybersecurity asal California, AS, mengatakan bahwa jenis malware baru telah menyebar ke lebih dari 2.000 perangkat Docker dengan menggunakan wadah di Docker Engine (Community Edition).

“Worm baru ini dinamai Graboid,” tulis Infosecurity Magazine, Kamis (17 Oktober 2019).

Graboid dirancang untuk bekerja secara acak yang menurut peneliti tidak memiliki manfaat yang jelas. Malware itu menyebarkan kode jahat dan cryptojacking di dalam wadah, lalu memilih tiga target pada setiap iterasi (teknik perulangan dalam penulisan program).

Graboid menginstal Worm pada target pertama, menghentikan penambang pada target kedua, dan memulai penambang pada target ketiga. Prosedur ini mengarah pada perilaku penambangan yang sangat acak.

"Jika host saya dikompromikan, itu tidak langsung penambangan otomatis berjalan, tapi saya harus menunggu sampai host lain yang dikompromikan mengambil saya dan memulai proses penambangan di host saya,” kata peneliti.

“Host yang terinfeksi lain juga dapat secara acak menghentikan proses penambangan saya. Pada dasarnya, penambang pada setiap host yang terinfeksi secara acak dikendalikan oleh semua host yang terinfeksi lainnya,” peneliti menambahkan.

Menurut peneliti, Graboid tidak bertahan lama menambang cryptocurrency jenis Monero, yaitu selama rata-rata hanya empat menit sebelum memilih host rentan baru untuk ditargetkan. Worm ini bekerja dengan mendapatkan pijakan awal melalui komputer Docker yang tidak aman.

Para peneliti memperingatkan bahwa gigitan Graboid berpotensi berubah menjadi gigitan yang kuat dan menyarankan organisasi untuk melindungi host Docker mereka.

"Walaupun Worm cryptojacking ini tidak melibatkan taktik, teknik, atau prosedur yang canggih, Worm ini dapat secara berkala menarik skrip baru dari C2s, sehingga dapat dengan mudah menggunakan kembali ransomware atau malware apa pun untuk sepenuhnya membahayakan host yang saling berkaitan dan ini tidak boleh diabaikan," kata peneliti.

Sekadar diketahui, Docker adalah platform perangkat lunak yang memungkinkan seseorang membuat, menguji, dan menerapkan aplikasi dengan cepat. Docker mengemas perangkat lunak ke dalam unit standar yang disebut kontainer yang memiliki semua yang diperlukan perangkat lunak agar dapat berfungsi termasuk pustaka, alat sistem, kode, dan waktu proses.

 

Docker mirip dengan cara mesin virtual memvirtualisasi perangkat keras server, kontainer memvirtualisasi sistem operasi server. Docker diinstal di setiap server dan memberikan perintah sederhana yang dapat Anda gunakan untuk membuat, memulai, atau menghentikan kontainer.