Последен ъпдейт на 28 юни 2018 в 13:34 ч.
Докато целият свят очаква с нетърпение какви нови висоти ще покори обменният курс на криптовалутата биткойн (bitcoin) и какви ще бъдат наследниците на вируси като WannaCryptor или Petya, идват нови и много по-потайни методи за генериране на приходи за кибер-престъпността.
Една подобна дейност се случва поне от май 2017 г. – оттогава насам хакери атакуват Windows сървъри, чийто ъпдейти не са инсталирани навреме (или иначе казано – не са патчнати) и инсталират т.нар. криптомайнъри. Това са кодове, които използват изчислителната мощ на компютрите на посетителите на уебсайтове, без те да подозират за това. А тази мощност се използва за „копаене“ на криптовалутата Monero (XMR), алтернатива на Биткойн.
За да постигнат този ефект, атакуващите са модифицирали open source софтуер за майнване на Monero и използват добре позната уязвимост на Microsoft IIS 6.0, за да инсталират кодовете си на непатчнати сървъри. В рамките на последните 3 месеца създателите на софтуера са заразили стотици уебсайтове, част от които и български, и са генерирали за себе си над 63,000 от криптовалутата Monero.
Клиентите на ESET са защитени от опити за експлоатиране на уязвимостта CVE-2017-7269, дори и, ако сървърите им не са патчнати.
Защо Monero, а не Bitcoin?
Макар и с доста по-ниска пазарна стойност от Bitcoin, Monero има няколко допълнителни функционалности, които го превръщат в много привлекателна криптовалута, обвързана със зловредни кодове. Например, алгоритъм за доказване на ефективност CryptoNight, който предпочита компютърни или сървърни процесори (CPU) и видео карти (GPU), за разлика от специализирания хардуер, необходим за работа с биткойни.
Не, че стойността на Monero не расте – само за последния месец тя е скочила от 40 USD/XMR до 150 USD/XMR – след което е загубила част от позициите си до около 100 USD/XMR към момента.
Криптомайнърът
Засечен за първи път на 26 май 2017 г., кодът, използван от хакерите, е модифицирана версия на иначе легитимния софтуер за майнване на Monero xmrig, версия 0.8.2 (публикувана на същия ден – 26 май 2017 г.).
При създаването на зловредния си код, кибер-престъпниците не са промени структурата на оригиналната база данни – ако изключим факта, че са хардкоднали адреса на портфейла си и URL на майнинг пула, както и няколко допълнителни аргумента, за да спрат всички възможни паралелно работещи инсталации на софтуера. По този начин те си гарантират, че на заразения компютър ще работи само и единствено най-новата инсталация на майнъра – тази, създадена от хакерите. Иначе казано – модификациите надали са отнели повече от няколко минути, което обяснява как зловредният код се появява буквално в същия ден с публикуването на легитимната версия на xmrig.
Разпространение
Разпространението на майнъра към компютрите на жертвите е най-трудната част от операцията. Дори и за нея, създателите са прибегнали до най-лесния подход. Засечени са 2 IP адреса, през които се осъществяват brute-force атаки срещу уязвимостта CVE-2017-7269.
Тя е открита през март 2017 г. и позволява на атакуващите да инжектират кода, с който да инициират експлоатирането на компютрите на посетителите незасегнати сайтове.
Решенията на ESET засичат майнъра с името Win32/CoinMiner.AMW trojan, а опитите за проникване в сървър като webDAV/ExplodingCan.
Малко статистика
Благодарение на факта, че статистиката за дейността на майнърите на Monero е публично достъпна, ESET успяват да засекат и комбинират всички хашове на жертвите, което представлява общата изчислителна мощ, използвана за „копаене“ към съответния акаунт. Стойностите се движат около 100 килохаша на секунда (kH/s), с пикове от 160 kH/s в края на август.
Като цяло, сборът от всички заразени машини е XMR5.5 на ден до края на август и над XMR420 от старта на атаката. При обменен курс от 150 USD/XMR, това означава 825 долара на ден или над 63,000 долара общ приход за създателите на зловредния код.
Атакуващите са били много активни в края на август, но от началото на октомври не са засечени масови атаки – въпреки че вирусът се появи в България именно през октомври –засякохме няколко сайта, които бяха заразени с кода – но той е отстранен от тях своевременно.
Освен това, тъй като майнърът няма механизъм за саморазпространение, хакерите непрекъснато губят вече компрометирани машини и скоростта на генериране е спаднала на 60 kH/s към момента на писането на този текст.
Това, обаче, не е първата “почивка“ на авторите на кода – и не е изключено да станем свидетели на нова подобна кампания в бъдеще. Поддържайте сървърите си винаги във форма – ъпдейтвате операционните им системи и ги защитавайте с лицензиран антивирусен софтуер като първо ниво на защитата си. Или се възползвайте от услугите на SOC (Security Operation Center), който да следи дейността им постоянно.
Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.