Linux zagrożony. Malware kopie Monero… w imię bezpiecznego internetu
Linux na serwerach jest atakowany przez trojana kopiącego kryptowalutę. Takie sytuacje się zdarzają, ale rzadko mamy do czynienia ze szkodnikiem, który wprost informuje administratora systemu o swoim celu. Atakujący obiecują nawet, że pomogą usunąć trojana.
Linux, Jira i Exim
Linuxowe serwery są atakowane przez nowy wariant trojana Watchbog. To znane zagrożenie, wykorzystujące przy infekcji luki w oprogramowaniu zainstalowanym na serwerach z Linuxem. Podczas kampanii w maju wykorzystywał podatność Jenkinsa, wcześniej ThinkPHP, Linux Supervisord i Nexus Repository Manager 3. Po infekcji malware buduje botnet do kopania kryptowaluty Monero.
Tym razem trojan wykorzystuje do infekcji luki w dwóch usługach – Jira (do zarządzania procesami, luka CVE-2019-11581) i Exim (serwer poczty, luka CVE-2019-10149). Druga podatność jest szczególnie niebezpieczna. Pierwsze jej wykorzystanie do ataku zaobserwowano 9 czerwca, być może była używana wcześniej. Mimo licznych apeli do administratorów wciąż działa ponad 1,5 mln serwerów z Linuxem i podatną wersją Exima.
Proces infekcji jest wręcz sztampowy. Po wykorzystaniu luk malware umieszcza w systemie skrypt kopiący Monero i zabezpiecza się przed usunięciem, dodając odpowiednie wpisy do plików crontaba. Następnie ściąga z Pastebina listę poleceń, by uruchomić obliczanie kryptowaluty w puli minexmr.com. Monety trafiają do tego samego portfela, co w czasie majowej kampanii atakującej serwery Jenkinsa o adresie:
47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7. W chwili pisania artykułu w portfelu znajdowało się już ponad 67 XMR, kampanie są więc skuteczne. Monero kosztuje obecnie 310,26 zł, więc atakujący zarobili prawie 30 tys. zł podczas dwóch kampanii.
Atak poprawia bezpieczeństwo internetu
Kampania wymierzona przeciwko serwerom z Linuxem jest ciekawa z dwóch powodów. Po pierwsze, trojana nie wykrywają narzędzia VirusTotal. Drugim powodem jest niespotykana szczerość atakujących. Skrypt kopiący monero zawiera wiadomość dla administratora zainfekowanego Linuxa.
W poprzednich wersjach trojan zawierał informację o tym, że atakujących interesuje jedynie kopanie kryptowalut. Malware nie wydobywa żadnych danych ani nie szkodzi systemowi – po prostu „pożycza” trochę mocy obliczeniowej. W razie potrzeby prowadzący kampanię służą pomocą przy usunięciu trojana.
Odmiana atakująca Exima i Jirę zawiera ponadto informację, że celem ataku jest poprawa bezpieczeństwa w internecie. Jeśli do administratora jeszcze nie dotarły komunikaty o luce w Eximie, może się o nich dowiedzieć z notatki dołączonej do Trojana. To niezwykłe zachowanie wśród cyberprzestępców.
Oto pełna treść notatki:
#This is the Old-ReBuild Lady job copy
#
#Goal:
# The goal of this campaign is as follows;
# - To keep the internet safe.
# - To keep them hackers from causing real damage to organisations.
# - We know you feel We are a potential threat, well We ain't.
# - We want to show how tiny vulns could lead to total disaters.
# - We know you feel We are Hypocrite's, because we mine. Well if we don't how the hell we gonna let you know we are in.
# - Please We plead to evey one out there don't sabotage this campaign (We want to keep the internet safe).
# - Sometimes you gotta break the rules to make them.
#
#Disclaimer:
#1) We only Wanna Mine.
#2) We don't want your data, or anything or even a ransom.
#3) Please if you find this code, don't post about it.
#4) We make your security better by breaking it.
#
#Contact:
#1) If your server get's infected:
# - We will provide cleanup script.
# - We will share source of entry into your servers and patch (surely).
# - Please if you contacting, please send your affected server's ip and services your run on the server.
# - lets talk jeff4r-partner[@]tutanota.com or jeff4r-partner[@]protonmail.com
#2) If you want to partner with us ?.
# - Well nothing to say.
#
#Note:
#1) We don't have access to Jeff4r190[@]tutanota.com anymore.