Bezpieczeństwo  /  Artykuł

Kopie, rozmnaża się i na siebie zarabia. Badacze odkryli nowego robala

Picture of the author

Czasy klasycznych wirusów, które atakowały pojedyncze komputery, i próbowały się rozmnożyć, przenosząc się na inne pliki, bezpowrotnie minęły. Nastała era żyjących w sieci robali, które zamieniają tysiące komputerów w zdalnie sterowany botnet przeznaczony do celu, jaki wyznaczy im cyfrowy porywacz.

Jaki będzie ten cel, zależy od korzyści i zlecenia - bo tego typu przedsięwzięcia od dekad nie są jedynie złośliwym żartem bądź popisem programistów. Jest to biznes polegający na wykorzystaniu mocy obliczeniowej komputera i połączenia internetowego do złych celów. Może do być rozsyłanie spamowych maili, może być orkiestracja ataku typu Denial of Service, a może być... kopanie kryptowalut bądź atak na blockchain.

To właśnie do kopania kryptowalut zaprzęga komputery botnet Sysrv, opisany przez firmę konsultingową Juniper w obszernym wpisie na firmowym blogu.

Zagrożenie nie tylko dla Windows

Przywykliśmy do tego, aby kojarzyć Windows z najczęściej podatnymi na ataki systemami operacyjnymi. W rzeczywistości takie podatności nie zdarzają się w systemie operacyjnym Microsoftu częściej niż w innych. Po prostu jest on najczęstszym celem poszukiwań dziur, bo jest najpopularniejszym systemem. Co za tym idzie, istnieje też sporo użytkowników tego systemu, którzy są mniej świadomi technologicznie.

W przypadku botnetu Sysrv jednak podatny jest nie tylko system Windows. Atakuje on i infekuje z powodzeniem również systemy operacyjne Linux.

Źródło: Juniper

Po raz pierwszy botnet ten zaobserwowano pod koniec 2020 roku. Używał on wtedy dwóch programów do zdalnego kopania kryptowalut: minexmr oraz f2pool. Instalował się pod nazwą pliku wykonywalnego sysrv oraz shsrv.exe w przypadku Windows - stąd jego kodowa nazwa. Nazwa jest pomysłowa - przypomina nazwy systemowych procesów zarówno na Linuksie jak i Windows. Może więc być łatwo przeoczona przez użytkownika.

Od lutego 2021 firma Juniper zauważyła usunięcie minexmr i pozostawienie jedynie f2pool jako narzędzia do kopania krypto.

Źródło: Juniper

Botnet używa wielu metod infekcji, próbując na różne sposoby wykorzystać potencjalnie istniejące wektory ataku na system. W marcu zauważono wzrost aktywności botnetu - oraz dodanie nowego narzędzia do kopania: nanopool. Zaczął on również dodawać własne klucze ssh do infekowanego systemu - co pozwala podejrzewać, że twórcy botnetu chcą zainfekowane komputery użyć w przyszłości do innych celów.

Metody ataku

Sysrv używał w momencie rozpoznania sześciu metod ataku, bazujących na znanych podatnościach systemowych:

  • Atak na Mongo Express - znany atak na narzędzie administratorskie bazy MongoDB, atakujący port 8081.
  • Atak na XXL-JOB Unauth - XXL-Job to framework umożliwiający harmonogramowanie zadań, umożliwiający dodawanie zadań (np. do popuarnego cron-a) za pomocą interfejsu WWW. Używany jest dość powszechnie w Chinach - firma Juniper zidentyfikowała wiele publicznych adresów IP z otwartą usługą XXL-Job.
  • Atak na XML-RPC - atakuje Supervisor - kolejny interfejs WWW umożliwiający zarządzanie systemami Uniksowymi.
  • Atak na Stalstack. Salt API to programistyczny interfejs do usługi Salt - usługi umożliwiającej automatyzację infrastruktury informatycznej.
  • Atak na ThinkPHP - popularny framework PHP - również obecny na tysiącach publicznych serwerów.
  • Atak na Drupal Ajax - znana podatność popularnego Drupala, zwana jako Drupalgeddon. Mimo że dość stara, wciąż jest obecna na wielu serwerach.

Po zainfekowaniu, robal robi dwie rzeczy: szuka kolejnych celów ataku (aby się rozmnożyć na jak największą liczbę hostów w sieci) oraz rozpoczyna kopanie kryptowaluty Monero.

Sysrv cały czas ewoluuje

Sześć wymienionych metod ataku może ulec w każdej chwili zmianie - robal został napisany w sposób umożliwiający jego zdalną aktualizację. W tej chwili zanotowano wersje, które posiadają kod umożliwiający atak np. za pomocą podatności w notatnikach Jupyter, atak a pomocą wykorzystania systemu automatyzacji Jenkins, wykorzystanie funkcji Apache Hadoop czy podatności Wordpressa.

Ze względu na to, że w kodzie robaka można znaleźć adresy "mining pooli", czyli kopalni zbiorczych, można się przekonać, że przedsięwzięcie jest dość lukratywne. W marcu na portfelu twórców robaka znalazło się 8 XMR co daje około 10 tysięcy złotych. Sporo - jak na ukradzioną moc obliczeniową. Niewiele, jak na globalne zyski z kryptowalut, szczególnie pochodzące z inwestycji a nie kopania. Należy jednak pamiętać, że wraz z rośnięciem botnetu będą rosły też zyski jego twórców.

przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst


przeczytaj następny tekst