Kriptopénzt bányásznak a feltört szerverek

​Egyre több problémát okoznak azok a kriptobányászati célokkal végrehajtott támadások, amelyek Windows és Linux alapú szervereket sem kímélnek.
 

Először 2020 decemberében lehetett hallani egy olyan támadássorozatról, amelynek célja az volt, hogy az elkövetők minél több kiszolgálóra telepítsenek fel Monero bányászatra alkalmas szoftvereket, és a kiszolgálók erőforrásainak felhasználásával keressenek (kripto)pénzt. 2020-ban aztán az Alibaba Cloud biztonsági kutatói is rávilágítottak a problémára, majd márciusban a Lacework Labs és a Juniper Threat Labs is felhívta a figyelmet a Sysrv-hello nevű károkozásokra.
 
Sok olyan támadás történik, amelyek kriptobányászati célokkal valósulnak meg. Ezek közül a Sysrv-hello azok közé tartozik, amelyek automatikus vírusterjesztési módszereket is alkalmaznak. Mindez a gyakorlatban azt jelenti, hogy a támadások két pillére épülnek. Egyrészt van egy kriptobányászatra alkalmas összetevő, másrészt pedig egy kódterjesztésre szolgáló modul is működik a háttérben.
 
A Sysrv-hello folyamatosan és meglehetősen agresszívan szkenneli a hálózatokat és az internet felől elérhető szervereket annak érdekében, hogy különféle sebezhetőségeken keresztül azokra fel tudjon juttatni egy Monero bányászatra alkalmas (XMRig) szoftvert. Azért, hogy a bányászkodást semmi ne zavarja meg, egy szoftveres komponens feltérképezi a fertőzött rendszert, és ha talál más kriptobányászatra alkalmas programot, akkor annak folyamtát azonnal leállítja. Eközben a kompromittált szervert egy botnethez csatlakoztatja, és további célpontokat keres. Ennek során az érintett számítógépen hosztneveket, IP-címeket gyűjt össze, egyebek mellett a bash historyból (Linux alatt) és különféle alkalmazásokból. Emellett bezsebeli az elérhető SSH-kulcsokat is.
 
Erőforrásokra éhes támadók
 
A támadók ezúttal is inkább a szerverek felé vették az irányt, aminek oka, hogy azok több erőforrással rendelkeznek a kriptobányászathoz, így több bevételt termelhetnek a kiberbűnözőknek. Eközben azonban az érintett kiszolgálók teljesítményét jelentősen visszafogják.
 
A mostani támadássorozat fontos jellemzője, hogy a rendszerek megfertőzéséhez az elkövetők számos sérülékenységet képesek kihasználni. A legtöbbet ostromlott alkalmazások a következők:

• Mongo Express (CVE-2019-10758)
• XML-RPC (CVE-2017-11610)
• Saltstack (CVE-2020-16846)
• Drupal Ajax  (CVE-2018-7600)
• ThinkPHP (no CVE)
• Laravel (CVE-2021-3129)
• Oracle Weblogic (CVE-2020-14882)
• Apache Solr (CVE-2019-0193)
• PHPUnit (CVE-2017-9841)
• Jboss Application Server (CVE-2017-12149)
• Jenkins
• WordPress
• Apache Hadoop
• Jupyter Notebook
• Tomcat Manager

 
Biztonsági kutatók jelenleg is próbálják felmérni, hogy a Sysrv-hello mennyi pénzt hozhatott a csalók konyhájára, de egyelőre pontos számok nincsenek. Az viszont körvonalazódik, hogy több ezer dolláros bevétele is származhat a kiberbűnözőknek egy-egy ilyen támadásból.
 
A szakemberek minden üzemetetőt arra bíztatnak, hogy a biztonsági frissítéseket mielőbb telepítsék, és a kiszolgálóikat mindig tartsák naprakészen. Emellett az erőforrások használatának monitorozása is segíthet az esetleges károkozások feltárásában.