Kopie, rozmnaża się i na siebie zarabia. Badacze odkryli nowego robala
Czasy klasycznych wirusów, które atakowały pojedyncze komputery, i próbowały się rozmnożyć, przenosząc się na inne pliki, bezpowrotnie minęły. Nastała era żyjących w sieci robali, które zamieniają tysiące komputerów w zdalnie sterowany botnet przeznaczony do celu, jaki wyznaczy im cyfrowy porywacz.
Jaki będzie ten cel, zależy od korzyści i zlecenia - bo tego typu przedsięwzięcia od dekad nie są jedynie złośliwym żartem bądź popisem programistów. Jest to biznes polegający na wykorzystaniu mocy obliczeniowej komputera i połączenia internetowego do złych celów. Może do być rozsyłanie spamowych maili, może być orkiestracja ataku typu Denial of Service, a może być... kopanie kryptowalut bądź atak na blockchain.
To właśnie do kopania kryptowalut zaprzęga komputery botnet Sysrv, opisany przez firmę konsultingową Juniper w obszernym wpisie na firmowym blogu.
Zagrożenie nie tylko dla Windows
Przywykliśmy do tego, aby kojarzyć Windows z najczęściej podatnymi na ataki systemami operacyjnymi. W rzeczywistości takie podatności nie zdarzają się w systemie operacyjnym Microsoftu częściej niż w innych. Po prostu jest on najczęstszym celem poszukiwań dziur, bo jest najpopularniejszym systemem. Co za tym idzie, istnieje też sporo użytkowników tego systemu, którzy są mniej świadomi technologicznie.
W przypadku botnetu Sysrv jednak podatny jest nie tylko system Windows. Atakuje on i infekuje z powodzeniem również systemy operacyjne Linux.
Po raz pierwszy botnet ten zaobserwowano pod koniec 2020 roku. Używał on wtedy dwóch programów do zdalnego kopania kryptowalut: minexmr oraz f2pool. Instalował się pod nazwą pliku wykonywalnego sysrv oraz shsrv.exe w przypadku Windows - stąd jego kodowa nazwa. Nazwa jest pomysłowa - przypomina nazwy systemowych procesów zarówno na Linuksie jak i Windows. Może więc być łatwo przeoczona przez użytkownika.
Od lutego 2021 firma Juniper zauważyła usunięcie minexmr i pozostawienie jedynie f2pool jako narzędzia do kopania krypto.
Botnet używa wielu metod infekcji, próbując na różne sposoby wykorzystać potencjalnie istniejące wektory ataku na system. W marcu zauważono wzrost aktywności botnetu - oraz dodanie nowego narzędzia do kopania: nanopool. Zaczął on również dodawać własne klucze ssh do infekowanego systemu - co pozwala podejrzewać, że twórcy botnetu chcą zainfekowane komputery użyć w przyszłości do innych celów.
Metody ataku
Sysrv używał w momencie rozpoznania sześciu metod ataku, bazujących na znanych podatnościach systemowych:
- Atak na Mongo Express - znany atak na narzędzie administratorskie bazy MongoDB, atakujący port 8081.
- Atak na XXL-JOB Unauth - XXL-Job to framework umożliwiający harmonogramowanie zadań, umożliwiający dodawanie zadań (np. do popuarnego
cron-a) za pomocą interfejsu WWW. Używany jest dość powszechnie w Chinach - firma Juniper zidentyfikowała wiele publicznych adresów IP z otwartą usługą XXL-Job. - Atak na XML-RPC - atakuje Supervisor - kolejny interfejs WWW umożliwiający zarządzanie systemami Uniksowymi.
- Atak na Stalstack. Salt API to programistyczny interfejs do usługi Salt - usługi umożliwiającej automatyzację infrastruktury informatycznej.
- Atak na ThinkPHP - popularny framework PHP - również obecny na tysiącach publicznych serwerów.
- Atak na Drupal Ajax - znana podatność popularnego Drupala, zwana jako Drupalgeddon. Mimo że dość stara, wciąż jest obecna na wielu serwerach.
Po zainfekowaniu, robal robi dwie rzeczy: szuka kolejnych celów ataku (aby się rozmnożyć na jak największą liczbę hostów w sieci) oraz rozpoczyna kopanie kryptowaluty Monero.
Sysrv cały czas ewoluuje
Sześć wymienionych metod ataku może ulec w każdej chwili zmianie - robal został napisany w sposób umożliwiający jego zdalną aktualizację. W tej chwili zanotowano wersje, które posiadają kod umożliwiający atak np. za pomocą podatności w notatnikach Jupyter, atak a pomocą wykorzystania systemu automatyzacji Jenkins, wykorzystanie funkcji Apache Hadoop czy podatności Wordpressa.
Ze względu na to, że w kodzie robaka można znaleźć adresy "mining pooli", czyli kopalni zbiorczych, można się przekonać, że przedsięwzięcie jest dość lukratywne. W marcu na portfelu twórców robaka znalazło się 8 XMR co daje około 10 tysięcy złotych. Sporo - jak na ukradzioną moc obliczeniową. Niewiele, jak na globalne zyski z kryptowalut, szczególnie pochodzące z inwestycji a nie kopania. Należy jednak pamiętać, że wraz z rośnięciem botnetu będą rosły też zyski jego twórców.
