Windows-os szerverekkel bányásztak a netes csalók

Több száz Windows-os szerver fertőződhetett meg abban a támadássorozatban, amely Monero bányászatba vonta be a kiszolgálókat.
 
hirdetés
A Bitcoin, Monero és egyéb kriptopénzek bányászatával foglalkozó kiberbűnözői csoportoknak sok esetben nincs nehéz dolguk. Általában könnyen sebezhető rendszereket fertőznek meg, méghozzá olyan kódokkal, amiket nyílt forráskódú, amúgy teljesen legális és ártalmatlan programok manipulálásával készítenek. Különösebb anyagi beruházásokat sem kell tenniük, miközben az erőforrásaikat a sérülékeny rendszerek felkutatására összpontosíthatják.
 
Hasonló forgatókönyv szerint zajlottak azok a támadások is, amiket az ESET kutatói nemrégen lepleztek le. Ez esetben kifejezetten olyan kiszolgálók kerültek célkeresztbe, amelyeken nem megfelelően frissített operációs rendszer futott. A támadók az IIS 6.0 egy korábban feltárt sérülékenységét használták ki a Windows Server 2003 operációs rendszert futtató számítógépeken. Ehhez ráadásul rendelkezésükre állt egy, az interneten is elérhető proof-of-concept. kód, így e téren sem kellett különösebb fejlesztésekbe bonyolódniuk. A sérülékeny rendszerek felkutatását pedig az Amazon felhős infrastruktúrájából végezték.
 
Egy támadás forgatókönyve
 
Amikor a támadóknak sikerül térdre kényszeríteniük egy kiszolgálót, akkor arra felmásolják az xmrig (Monero CPU miner) nevű alkalmazás egy némileg módosított változatát. Az xmrig forráskódja a GitHubról szabadon letölthető, és ezt a csalók is tudták. A forráskódba mindössze a pénztárcáik címét, illetve néhány URL-t égettek be. Emellett egy olyan kódrészlettel bővítették ki az xmriget, amely figyelte, hogy a fertőzött rendszereken már fut-e a program, és amennyiben igen, akkor úgy leállították azt. Ezzel érték el, hogy a kis szoftver csak a saját pénztárcájukat tömje.
 
Az eddigi vizsgálatok szerint a támadók már 2017 májusa óta fertőzték a számukra mindenben megfelelő szervereket, és egy botnetet alakítottak ki. Hónapok során több mint 60 ezer dollárnak megfelelő Monerot sikerült összebányászniuk. Azt viszont egyelőre homály fedi, hogy hány szervert tudtak hadra fogni, de az érintett kiszolgálók száma több százra rúghat. Jó hír viszont, hogy szeptemberben e támadások háttérbe szorultak, és nagyon úgy tűnik, hogy az elmúlt hónapokban felépített botnet is megbénult.
 
Az ESET azt javasolta, hogy minden üzemeltető ellenőrizze a Windows Server 2003 (R2) állapotát. Noha az operációs rendszerhez a támogatás 2015-ben megszűnt, a Monero bányászok által kihasznált biztonsági rés (CVE-2017-7269) megszüntetéséhez idén júniusban kiadott egy frissítést a Microsoft, amit a lehetőségekhez mérten célszerű telepíteni. Nyilván azzal a csalók is tisztában vannak, hogy ezt az operációs rendszert már nem könnyű frissíteni, hiszen gyakorta éppen kompatibilitási okok miatt teljesít még mindig szolgálatot a szervezeteknél.
Vélemények
 
  1. 3

    Az OpenSSL kapcsán két sérülékenységről hullt le a lepel.

  2. 3

    Az IBM Security Guardium biztonsági hibája a titkosítási szintek manipulálását teszi lehetővé.

  3. 4

    A Microsoft a Malware Protection Engine esetében egy veszélyes sérülékenységet orvosolt.

 
Partnerhírek
Egy repülőgépet is fel lehet törni?

Nem laboratóriumi körülmények között, távolról be lehet törni egy repülőgép hálózatába.

​A Google mindig tudja, hol vagy?

Akkor is gyűjti az androidos készülékek tulajdonosainak lokációs adatait a Google, amikor kikapcsolták a helyfüggő szolgáltatásokat – ezt az adatvédelmi szabályzatban nem jelezték.

hirdetés
Közösség
1