Trois ans suite aux premières attaques de logiciels malveillants ciblant Docker, les développeurs continuent de mal configurer et d’exposer leurs serveurs Docker en ligne. L’univers des malwares a connu un très grand changement vers la fin de l’année 2017. Etant donné que les technologies qui se basent sur le cloud deviennent de plus en plus populaires, les cybercriminels ont aussi commencé à cibler les systèmes Docker et Kubernetes. La majorité de ces attaques suivent un schéma très simple : les acteurs malveillants cherchent des systèmes mal configurés dont les interfaces d’administration sont exposées en ligne pour contrôler des serveurs et déployer des logiciels malveillants.

Mais malgré l’existence d’un nombre croissant d’attaques de logiciels malveillants visant les serveurs Docker, plusieurs développeurs web et ingénieurs infrastructure continuent à mal configurer les serveurs Docker, les exposant ainsi aux attaques. Parmi les erreurs les plus courantes est le fait de maintenir les points d’accès des API (en lien avec Docker) exposés en ligne sans authentification. Ces dernières années, des logiciels malveillants comme Doki, Ngrok, Kinsing (H2miner), XORDDOS, AESDDOS, Team TNT, et d'autres, ont recherché les serveurs Docker qui laissaient l'API de gestion Docker exposée en ligne et en ont ensuite abusé pour déployer des images de systèmes d'exploitation malveillants afin de mettre en place des portes dérobées.

Dernièrement, une de ces souches de logiciels malveillants a été découverte par la société de sécurité chinoise Qihoo 360. Nommé Blackrota, il s’agit d’un simple cheval de Troie avec une porte dérobée qui est en fait une version simplifiée de la balise CarbonStrike implémentée dans le langage de programmation Go. Jusqu’à présent, seule une version de Linux a été découverte et on ne sait pas très bien comment ce malware est employé. Les chercheurs ne savent pas encore si une version Windows existe aussi. Ce qui est sûr jusqu’à présent, c’est que Blackrota se base sur les erreurs commises par des développeurs ayant accidentellement mal configuré leurs serveurs Docker.

Les entreprises, les développeurs web et les ingénieurs qui utilisent les systèmes Docker dans le cadre de leurs systèmes de production sont invités à consulter la documentation officielle de Docker pour s'assurer qu'ils ont correctement sécurisé les capacités de gestion à distance de Docker avec des mécanismes d'authentification appropriés, tels que des systèmes d'authentification par certificat.