Невидим копач на криптовалути атакува Linux системи

Системният администратор вижда, че процесорът е натоварен на 100%, но не може да установи кои процеси го причиняват

Христо Петров

12/11/2018, 18:26

Хакерите могат да са особено изобретателни, когато стане дума за прикриване на следите. Компанията за информационна сигурност TrendMicro е открила малуер, който използва ресурсите на заразената машина, за да копае криптовалути. Необичайното е, че малуерът действа в комбинация с руткит, който скрива дейността на копача.

Така за системния администратор не остава нищо друго освен да гледа в недоумение, докато системата работи на 100%, но той не може да установи кои процеси я натоварват.

„Открихме софтуер за копаене на криптовалути, който нарекохме Coinminer.Linux.KORKERDS.AB, засягащ системи с Linux. Специфичното при него е, че се инсталира със собствен руткит, който скрива зловредните процеси. Това го прави труден за засичане, тъй като инфектираната система показва единствено признаци на забавяне“, коментират от TrendMicro.

С помощта на шел скриптове копачът се качва на системата, където се записва като /tmp/kworkerds. Отделно от това на системата се инсталира и руткит, който скрива дейността на малуера. Ако системният администратор реши да анализира работещите процеси преди инсталирането на руткита, той ще види, че /tmp/kworkerds натоварва процесора на 100%.

След инсталирането на руткита обаче процесът става невидим, въпреки че системата продължава да показва 100% натовареност на процесора.

Как да се предпазите

Засега не е ясно как малуерът попада в заразената машина. Предположението на анализаторите е, че това става с инсталирането на компрометиран софтуер или плъгин. На базата на това предположение те дават следните препоръки:

Избягвайте да използвате непознати библиотеки или хранилища за софтуер;
Използвайте антивирусен софтуер;
Налагайте политики за достъп и мониторинг на системата;
Редовно обновявайте операционната система;
Използвайте системи за откриване и предотвратяване на атаки (Intrusion Detection System, Intrusion Prevention System);

Копачите на криптовалути са популярен инструмент за правене на пари, особено след като в края на 2017 г. стойността на биткойн и другите криптовалути достигнаха рекордни нива. Въпреки че не вредят пряко – няма криптирани файлове и инфектираната машина продължава да си работи – те все пак нанасят щети.

Този вид малуер може бързо да амортизира информационните ресурси на една фирма и да надуе сметката за електричество. Затова той не бива да бъде подценяван.