Исследователи безопасности Bitdefender обнаружили группу угроз из Румынии, действующую как минимум с прошлого года и нацеленную на машины на базе Linux со слабыми учетными данными протокола Secure Shell (SSH).
Исследователи обнаружили, что группа развертывала вредоносное ПО для майнинга Monero, используемое для кражи криптовалюты. По словам Кристофа Хебайзена, директора по исследованиям в области безопасности в Lookout, компании по обеспечению безопасности конечных точек в облаке, которая не связана с отчетом Bitdefender, это вредоносное ПО также допускает другие виды атак.
Эта дополнительная функциональность может открыть дверь для злонамеренных действий, таких как кража информации, боковое перемещение или бот-сети », — сказал он LinuxInsider.
Идея, связывающая группу с Linux, является одним из последних инцидентов, связанных с уязвимостями, связанными с Linux. Операционная система представляет собой надежную и безопасную вычислительную платформу сверху вниз. Проблема взлома систем Linux часто связана с неправильной конфигурацией и невниманием пользователя к вопросам безопасности.
«Состояние безопасности Linux сегодня изменилось в лучшую сторону с появлением более заметных и встроенных функций безопасности. Однако, как и многие операционные системы, вы должны устанавливать, настраивать и управлять им, помня о безопасности, поскольку именно так киберпреступники извлекают выгоду из человеческого прикосновения », — Джозеф Карсон, главный научный сотрудник по безопасности и консультант по информационной безопасности в Thycotic, поставщик облачных идентификационных данных. Решение безопасности, которое также не связано с отчетом Bitdefender, сообщил LinuxInsider.
Содержание статьи
Старые уловки с новыми инструментами
Хакеры, атакующие компьютеры со слабыми учетными данными SSH, не редкость, согласно блогу Bitdefender, опубликованному 15 июля. Атаки упрощены для хакеров, поскольку операторы компьютеров часто используют имена пользователей и пароли по умолчанию. или слабые учетные данные SSL.
Хакеры могут легко преодолеть эти общие слабости с помощью грубой силы. Согласно Bitdefender, хитрость для хакеров заключается в том, что злоумышленники остаются незамеченными.
При атаке методом перебора в криптографии злоумышленник отправляет множество паролей или парольных фраз в надежде, что в конечном итоге угадает их правильно. Исследователи могут идентифицировать группы хакеров по инструментам и методам, которые они используют.
Количество оригинальных инструментов в этой кампании и их сложность указывают на то, что человек или группа со значительными навыками создали этот инструментарий, — предположил Lookout в Hebeisen.
«Актеры, стоящие за кампаниями по криптоджекингу, стремятся использовать сторонние вычислительные ресурсы для добычи криптовалюты для получения финансовой выгоды. Криптомайнинг требует больших вычислительных ресурсов, и поэтому использование облачных экземпляров для криптоджекинга может привести к увеличению затрат жертвы на облачные ресурсы », — сказал Хебайзен о том, что хакерам необходимо взломать большое количество персональных и корпоративных компьютеров.
Схема обнаружения атак
Группа злоумышленников Bitdefender отслеживала использование традиционных хакерских инструментов. По данным Bitdefender, исследователи обнаружили среди инструментов хакеров ранее неизвестный брутфорсер SSH, написанный на языке программирования с открытым исходным кодом Golang.
Исследователи полагают, что этот инструмент распространяется как сервисная модель, поскольку он использует централизованный сервер интерфейса прикладного программирования (API). Злоумышленники в группе предоставляют свои ключи API в своих сценариях.
«Как и большинство других инструментов в этом наборе, инструмент грубой силы имеет интерфейс на смеси румынского и английского языков. Это заставляет нас думать, что его автор является частью той же румынской группы », — отмечается в блоге Bitdefender о кибербезопасности.
Исследователи начали расследование этой группы в мае из-за своей кампании криптоджекинга с использованием того же программного загрузчика. Затем они проследили вредоносное ПО до файлового сервера в открытом каталоге, на котором также размещались другие файлы, и с февраля было известно, что на нем размещаются другие вредоносные программы.
Исследователи безопасности связали оригинальные инструменты в этом наборе хакерского программного обеспечения с атаками, наблюдаемыми в реальных условиях. У большинства хакеров есть свои любимые методы и приемы. По словам Карсона из Thycotic, при достаточно частом использовании они создают общий отпечаток пальца, который можно использовать для цифрового отслеживания.
«Трудно отследить тех, кто прячется за украденным кодом или никогда больше не использует одни и те же методы и техники. Для каждой новой кампании они делают что-то совершенно другое », — сказал он.
Однако злоумышленники, которые обычно идут по этому пути, обычно хорошо финансируются и снабжены ресурсами. Большинство киберпреступников пойдут по легкому пути и повторно используют как можно больше существующих инструментов и методов.
«Это действительно будет зависеть от того, заботится ли злоумышленник о том, что его обнаружат, или нет. Чем больше шагов злоумышленник предпринимает, чтобы скрыться, это означает, что они действуют в пределах страны, и в случае обнаружения этого они могут быть привлечены к ответственности », — добавил он.
Хакерская тактика Рискованная
Большинство кампаний криптоджекинга направлены на кражу вычислительных ресурсов и энергии. По словам Карсона, это побуждает злоумышленников ограничивать воздействие, чтобы они могли оставаться скрытыми как можно дольше.
Воздействие на организацию заключается в том, что это может повлиять на производительность бизнес-операций и привести к значительным счетам за электроэнергию, которые со временем могут вырасти до тысяч долларов. Другой риск заключается в том, что криптоджекинг может оставить бэкдоры, позволяя другим киберпреступникам получить доступ и нанести дополнительный ущерб, такой как программы-вымогатели.
«Используемые методы слишком часто используются в даркнете, что позволяет любому, у кого есть компьютер и подключение к Интернету, начать кампанию криптоджекинга. Конечная цель — добывать криптовалюту для получения прибыли за счет других », — сказал Карсон.
Успех или неудача хакеров в кампании по распространению вредоносного ПО зависит от лиц, на самом деле запускающих вредоносное ПО (криптоджекинг или иное), — отметил Карл Стейнкамп, директор по продуктам и обеспечению качества PCI. в Coalfire; не связан с отчетом Bitdefender. Он заметил, что поиск людей, стоящих за этой деятельностью, будет различным.
«Некоторые из этих злоумышленников используют пуленепробиваемый хостинг, в то время как другие используют хостинг в местах, где у правоохранительных органов есть проблемы с взаимодействием. «Есть также злоумышленники, которые проводят операции непосредственно из своего основного местоположения, и для этих немногих избранных довольно часто бывает тривиально отслеживать и арестовывать этих людей», — сказал Стейнкамп LinuxInsider.
Жертвы в изобилии, когда-то найдены
Злоумышленники имеют преимущество в получении успешных результатов атаки. Частично это связано с тем, что нет недостатка в скомпрометированных машинах Linux со слабыми учетными данными SSH, отмечает Bitdefender.
В их поисках и кроется уловка.
Злоумышленники разыгрывают свою охоту на жертв, сканируя сетевые серверы на предмет явных слабых учетных данных SSH. В блоге Bitdefender поясняется, что этот процесс состоит из трех этапов.
Злоумышленники размещают на сервере несколько архивов. Они содержат инструменты для взлома серверов со слабыми учетными данными SSH. В зависимости от стадии злоумышленники используют разные инструменты.
- Первый этап — разведка. Набор инструментов хакеров идентифицирует серверы SSH с помощью сканирования портов и захвата баннеров. Здесь задействованы инструменты ps и masscan.
- Второй этап — это учетный доступ. Хакеры идентифицируют действительные учетные данные с помощью грубой силы.
- Третий этап — это начальный доступ. Хакеры подключаются через SSH и запускают заражение.
Хакерская группа использует 99x / haiduc (как вредоносное ПО Outlaw) и «брут» на последних двух этапах.
Четыре ключа к безопасности
Криптоджекинг может позволить злоумышленникам выполнять все традиционные аспекты вредоносного ПО с дополнительными преимуществами майнинга некоторых итераций криптоактивов. В зависимости от распространения / упаковки вредоносного ПО и технических возможностей злоумышленника, эти майнеры часто будут нацелены на Monero, Ethereum и / или Биткойн, пояснил Стейнкамп
.
Многие из этих вредоносных программ для криптоджекинга продаются на подпольных сайтах, чтобы позволить злоумышленникам от новичков до экспертов участвовать в аналогичной деятельности. По его словам, получение административного доступа к одному или нескольким хостам Linux через уязвимости SSH, системы или приложений позволит им попытаться скомпрометировать хост, а затем распространиться по горизонтали и вертикали внутри организации.
«Организации, которые имеют надежное управление конфигурацией, оповещение, управление журналами, целостность файлов и реагирование на инциденты, как правило, будут лучше реагировать на заражение вредоносным ПО, такое как криптоджекинг», — сказал Стейнкамп, когда его спросили о мерах по защите для предотвращения таких атак.
Он продолжил .
Присутствие вредоносных программ для криптоджекинга, которые пытаются скрыться с помощью компиляторов сценариев оболочки, можно легко устранить с помощью бесплатных инструментов, найденных на Github, что позволяет группам безопасности декомпилировать вредоносные программы на основе x86, x64, MIPS и ARM.
С точки зрения злоумышленников, использующих другой механизм командования и контроля (C2) для представления информации, это новое явление, но не неожиданное, по словам Стейнкампа. Вредоносные программы для криптоджекинга использовали и продолжают использовать IRC и HTTP для связи, и теперь мы видим Discord.
«Каждый из них по умолчанию передает ключевую информацию со взломанного хоста в открытом виде, что позволяет жертве регистрироваться и легко видеть сообщения. Оба, однако, также могут быть настроены на использование SSL, что затрудняет отслеживание », — отметил он.
