Cyberzagrożenia, Ochrona przed złośliwym oprogramowaniem

Nowy cel hakerów – serwery Linux kopalniami kryptowalut

Czas czytania: 2 min

Cyberprzestępcy używający kopalni kryptowalut coraz bardziej rozszerzają swoją działalność. Po zhakowaniu serwerów firm Tesla ASW i Jenkins, teraz na celowniku znalazły się serwery systemu Linux. Do tej pory akcja wygenerowała 74 000 dolarów w walucie Monero. To kolejny akt spektaklu, w którym główną rolę odgrywają tak powszechne ostatnio urządzenia.

Winne luki w oprogramowaniu

Nowa kampania wykorzystuje legalny i otwarty kod źródłowy kopalni XMRiG. Połączony ze starą luką w zabezpieczeniach CVE-2013-2618, które znajdują się w pluginie Cacti’s Network Weathermap. Ta luka pozwala zdalnym intruzom na wstrzyknięcie dowolnego skryptu lub kodu HTML za pomocą parametru map_title.

Sieć Weathermap ma tylko dwie zgłoszone luki, obie z czerwca 2014 roku. Możliwe, że atakujący wykorzystują nie tylko lukę bezpieczeństwa – dla której exploit jest łatwo dostępny. Może także wykorzystać opóźnienia patcha, które występują w organizacjach korzystających z narzędzia open-source.

Ataki na Linuxa

By hakerzy mogli wziąć na cel oprogramowanie Linux, musi spełnić ono kilka warunków. Po pierwsze, serwery sieciowe x86-64 działające na systemie muszą być ogólnodostępne. Po drugie, wtyczka Cacti, o której mowa wyżej.  Wtyczka powinna być obecna i wdrożona przy działającej architekturze wtyczek i przestarzałej mapie sieci. W końcu serwer WWW nie powinien wymagać uwierzytelniania i działać z uprawnieniami root.

Dwa pierwsze warunki są realne, jednak gdy weźmiemy pod uwagę uprawnienia root, administrator serwera może mieć taką konfigurację, aby ułatwić monitorowanie serwerów, na przykład poprzez podstawową zakładkę przeglądarki. Ułatwia to jednak wszystkim podmiotom, które chcą nam zagrozić, znalezienie i uzyskanie dostępu. Nie charakteryzuje to postępowania informatyków, mających na uwadze bezpieczeństwo swojej sieci.

Hakerzy się wzbogacają

Raport na ten temat został stworzony przez zespół ds. rozwiązań w cyberbezpieczeństwie firmy Trend Micro. Badacze zlokalizowali aktywność dwóch użytkowników. Na ich kontach została zdeponowana kwota 74 tysięcy 677 dolarów w walucie Monero.

Kryptowaluty sieją spustoszenie

Ataki za pomocą koparek kryptowalut w ostatnich miesiącach notują rekordowe wyniki na rynku cyberprzestępczym. Wiele firm doświadczyło wyspecjalizowanej formy działania botnetów. Wykorzystują one moc obliczeniową maszyn, padających ofiarą napastników i zamieniają je w dobrze prosperujące kopalnie.

Opisywany powyżej problem ataków na systemy Linux na razie jest ukierunkowany w pięć wysokorozwiniętych państw – Japonię, Tajwan, Chiny, Stany Zjednoczone oraz Indie. Prawdopodobnym jest jednak, że jeśli trend będzie się sprawdzał, wkrótce może się pojawić na europejskim rynku. Gdzie może podejmować próby wygenerowania podobnych zysków.





Dodaj komentarz