50 ezer szervert fertőztek meg a kriptobányászok

Eddig már több mint 50 ezer Microsoft SQL Server adatbáziskiszolgáló fertőződött meg egy kriptopénzek bányászatára alkalmas kártékony programmal.
 

Az nem szokatlan jelenség, hogy a kriptobányászatra hangolódott kiberbűnözők szervereket is kiszemelnek maguknak. Teszik mindezt elsősorban azért, hogy ezáltal minél több erőforrásra tegyenek szert. Erőforrásból ugyanis soha nincs elég, ha kriptopénzt kell "elővarázsolni".
 
A legutóbbi, kifejezetten kriptopénz bányászatra specializálódott támadássorozat globális szinten okozott problémákat. Az érdekessége, hogy kifejezetten olyan szervereket állított célkeresztbe, amelyeken Microsoft SQL Server is futott. Vagyis az elkövetők ezúttal a Windows alapú kiszolgálók felé fordultak, nem is kis intenzitással. Az elmúlt hónapokban több mint 50 ezer szervert sikerült az uralmuk alá vonni. Az igazán elgondolkodtató, hogy ehhez nem használtak semmiféle különleges, ismeretlen technikát.
 
Egy támadás forgatókönyve
 
A szóban forgó támadások során a feketekalapos hackerek alapvetően brute force módszereket alkalmaztak. Port szkenneléssel feltérképezték a potenciális áldozataikat az interneten, majd több ezer felhasználónév/jelszó párossal próbálták feltörni a kiszolgálókat. Amennyiben sikerült hozzáférést szerezniük a nem megfelelően védett adatbázis kiszolgálókhoz, akkor legalább húsz különféle nemkívánatos kóddal igyekeztek elérni a céljukat.
 
A Guardicore Labs kutatói szerint a támadók számos vezérlőszervert üzemeltettek, amelyek révén vezérelhették a fertőzött, botnethez csatlakoztatott kiszolgálókat. Ezeken keresztül tudták indítani, illetve felügyelni a kriptobányászatot, amely ezúttal TurtleCoin bezsebelését célozta.
 
Egy fertőzés alkalmával nem kizárólag a bányászkodás volt fontos szempont a támadók számára, hanem az is, hogy biztosítsák a károkozójuk hosszú távú jelenlétét. Ennek érdekében manipulálták a regisztrációs adatbázis egyes bejegyzéseit, és a bányászathoz kötődő folyamataikat kernel módú rootkittel óvták a kíváncsiskodók elől. Ez a rootkit egyébként egy olyan kernel driver, ami érvényes digitális aláírással is rendelkezik (egy Hangzhou Hootian Network Technology nevű kínai vállalat nevére kiállítva).
 
Az elkövetők esetenként különféle sebezhetőségeket is kihasználtak (például a CVE-2014-4113 azonosítójú, Windows-os biztonsági rést), amivel jogosultsági szint emelést hajtottak végre.
 
Az eddigi vizsgálatok szerint a támadások gyökerei Kínába vezetnek.