Кампания по криптозахвату использует уязвимость в коде Monero пятилетней давности

Как сообщает американская компания по кибербезопасности Trend Micro, уязвимость почти пятилетней давности в коде Monero была использована, чтобы инфицировать серверы Linux программным обеспечением, которое позволяло хакерам использовать их для майнинга этой ориентированной на приватность криптовалюты.

Согласно отчету компании, хакеры используют уязвимость, обнаруженную в плагине Network Weathermap для Cacti. Уязвимость, которую используют, была классифицирована как CVE-2013-2618, она дает возможность хакерам усилить возможность выполнения кода на базовых серверах. Таким образом они могут установить индивидуальную версию XMRig, легального программного обеспечения для майнинга Monero с открытым кодом.

Исследователи детализировали, что атакирующие имеют возможность гарантировать максимальное время безотказной работы через уязвимость путем проверки вредоносных программ каждые три минуты, на случай, если кто-то решит выключить систему. Чтобы избежать разоблачения, злоумышленники инструктируют XMRig выполняться незаметно, с ограничением максимального количества ресурсов центрального процессора, которые он будет использовать для майнинга.

Примечательно, что этот патч уязвимости, как сообщается, был доступен в течение почти 5 лет. Некоторые пользователи могут по-прежнему бессознательно добывать Monero для хакеров, несмотря на то, что могут легко устранить проблему. В отчете Trend Micro говорится:

Это классический случай повторного использования уязвимостей, поскольку он используется чаще в устаревших недостатках безопасности, чьи патчи были доступны в течение почти 5 лет.

Ошибка была обнаружена пять лет назад, в апреле 2013 года, в плагине Weathermap. Плагин с открытым исходным кодом использовался интернет-провайдерами, онлайн-биржами, компаниями из списка Fortune 500 и телекоммуникационной сетью для отображения сетевой активности.

Кампания по криптозахвату была нацелена в основном на общедоступные серверы x86-64 Linux по всему миру, причем странами, которые наиболее пострадали, оказались Япония, Тайвань, Китай, США и Индия.

Объемы кампании по криптозахвату

Исследователи Trend Micro сумели выявить два кошелька Monero, которые получали нечестные средства, и отметили, что на 21 марта кампания принесла хакерам 320 Monero (примерно $ 63,000). Однако они отметили, что эта кампания связана с тем, что использовала вредоносного обеспечения JenkinsMiner на компьютерах с Windows, которая собрала XMR стоимостью менее $3 млн.

Пользователи могут защитить свои машины просто сохраняя свои системы исправленными. Исследователи отмечают, что те, кто использует плагин Network Weathermap от Cacti, должны обеспечить защиту своим данным и держать их подальше от общедоступных серверов. В отчете компании читаем:

Данные с Cacti должны быть надлежащим образом сохраненными в среде. Хранение этих данных открытыми представляет собой огромную опасность с точки зрения безопасности деятельности. Хотя это предоставляет администраторам системы или сети удобством контроля своей среды, это делает то же для носителей угрозы.

Среди известных жертв криптозахвата присутствуют компания Tesla и сеть кофеен Starbucks, Wi-Fi которой был обнаружен за использованием ноутбуков клиентов для майнинга. Кампании по внедрению злонамеренного ПО также сумели взломать миллионы устройств Android и использовать их для майнинга ранее в этом году.

Android Tesla