Kriptopénzt bányásznak a feltört szerverek

​Egyre több problémát okoznak azok a kriptobányászati célokkal végrehajtott támadások, amelyek Windows és Linux alapú szervereket sem kímélnek.
 

Először 2020 decemberében lehetett hallani egy olyan támadássorozatról, amelynek célja az volt, hogy az elkövetők minél több kiszolgálóra telepítsenek fel Monero bányászatra alkalmas szoftvereket, és a kiszolgálók erőforrásainak felhasználásával keressenek (kripto)pénzt. 2020-ban aztán az Alibaba Cloud biztonsági kutatói is rávilágítottak a problémára, majd márciusban a Lacework Labs és a Juniper Threat Labs is felhívta a figyelmet a Sysrv-hello nevű károkozásokra.
 
Sok olyan támadás történik, amelyek kriptobányászati célokkal valósulnak meg. Ezek közül a Sysrv-hello azok közé tartozik, amelyek automatikus vírusterjesztési módszereket is alkalmaznak. Mindez a gyakorlatban azt jelenti, hogy a támadások két pillére épülnek. Egyrészt van egy kriptobányászatra alkalmas összetevő, másrészt pedig egy kódterjesztésre szolgáló modul is működik a háttérben.
 
A Sysrv-hello folyamatosan és meglehetősen agresszívan szkenneli a hálózatokat és az internet felől elérhető szervereket annak érdekében, hogy különféle sebezhetőségeken keresztül azokra fel tudjon juttatni egy Monero bányászatra alkalmas (XMRig) szoftvert. Azért, hogy a bányászkodást semmi ne zavarja meg, egy szoftveres komponens feltérképezi a fertőzött rendszert, és ha talál más kriptobányászatra alkalmas programot, akkor annak folyamtát azonnal leállítja. Eközben a kompromittált szervert egy botnethez csatlakoztatja, és további célpontokat keres. Ennek során az érintett számítógépen hosztneveket, IP-címeket gyűjt össze, egyebek mellett a bash historyból (Linux alatt) és különféle alkalmazásokból. Emellett bezsebeli az elérhető SSH-kulcsokat is.