- Incidentes com supercomputadores em vários países europeus revelam que malware tem sido usado para explorar seu poder computacional para minerar Monero.
- Potenciais atacantes têm utilizado máquinas proxy de mineração Monero com uma configuração para evitar a detecção.
Vários relatórios de várias instituições européias revelam incidentes relacionados à mineração ilegal da criptomoeda Monero usando malware para infectar supercomputadores. Os incidentes ocorreram em diferentes países europeus. Entre os países afetados estão o Reino Unido, Alemanha, Suíça e Espanha. As semelhanças entre os incidentes indicam aos pesquisadores que todos os ataques podem estar relacionados a um único grupo ou entidade. No entanto, não há evidências definitivas a esse respeito.
Falhas na segurança da mineração Monero
O primeiro relatório que se referia a um incidente envolvendo malware de mineração Monero foi publicado pelo Serviço Nacional de Supercomputação do Reino Unido, ARCHER. Publicado em 11 de maio, o relatório anuncia a desativação do acesso ao sistema ARCHER. A desativação foi inicialmente devido a uma exploração de uma vulnerabilidade nos nós de login do ARCHER, como o relatório afirma.
Em registros posteriores e após investigações mais exaustivas, foi possível concluir que o problema estava relacionado a uma série de incidentes que afetavam os sistemas de várias instituições européias. Um relatório do bwHPC Alemanha também anunciou em 11 de maio que irá desativar os seguintes sistemas de Computação de Alto Desempenho (HPC): bwUniCluster 2.0, ForHLR II, bwForCluster JUSTUS, bwForCluster BinAC e Hawk.
Outro relatório do Centro Nacional de Supercomputação em Zurique confirmou a teoria inicial dos pesquisadores. Lançado dias depois, em 16 de maio, o relatório afirma que vários centros de dados acadêmicos e sistemas de HPC ao redor do mundo estavam “combatendo ataques cibernéticos e, portanto, tinham que ser desativados”. Como em relatórios anteriores, não há nenhuma menção à mineração Monero neste último. Possivelmente aguardando investigação adicional.
No entanto, o co-fundador da Cado Security, Chris Doman, publicou os resultados da investigação da sua empresa sobre os incidentes. A Cado Security alega que os incidentes estão relacionados porque todos se referem a um arquivo com o mesmo nome, “fontes”. Este arquivo é usado como um carregador em conjunto com outro arquivo chamado “baixo” que é usado para limpar os logs e esconder pistas sobre os ataques. O relatório do Cado afirma:
(O atacante) Eles talvez usem um ou mais métodos para a escalada de privilégios, possivelmente CVE-2019-15666. Neste momento a instalação nacional do Reino Unido ARCHER está fora de linha, pois eles sofreram uma exploração de raiz.
Os atores estão vindo dos seguintes endereços IP, 202.120.32.231 e 159.226.161.107, você não tem nenhuma idéia de qual país eles são.
Esses mesmos endereços IP foram registrados como parte de outros incidentes nas universidades de Shanghai Jiaotong e na Rede de Ciência e Tecnologia da China. O Cado também pôde concluir que os arquivos “Uploaded” e “Cleaner” foram carregados para o VirutsTotal dos países europeus mencionados.
Da mesma forma, um relatório separado da equipe européia de resposta de segurança informática afirma que os atacantes usam credenciais SSH comprometidas para pular entre as diferentes vítimas. Os atacantes então convertem a CPU que eles infectam com o malware para uma das diferentes funções listadas abaixo:
XMR hosts de mineração (rodando um binário XMR escondido)
hosts XMR-proxy ; O atacante usa esses hosts dos hosts de mineração XMR, para se conectar a outros hosts XMR-proxy e eventualmente ao servidor de mineração real.
SOCKS proxy hosts (rodando uma instância microSOCKS em uma porta alta) ; O atacante se conecta a estas máquinas via SSH, muitas vezes a partir do Tor. O MicroSOCKS também é usado a partir do Tor.
Hosts de túnel (túnel SSH) ; O atacante se conecta via SSH (conta comprometida) e configura NAT PREROUTING (tipicamente para acessar espaços IP privados).
I took a look at the recent attacks against Supercomputers and found some more details on attacks against Supercomputers in the UK, US, Germany and elsewhere -> https://t.co/EXdxB2jPI1 pic.twitter.com/3gOaLKCfyQ
— chris doman (@chrisdoman) May 16, 2020
No momento da publicação, a XMR está negociando a US$ 66,24 com ganhos de 1% nas últimas 24 horas, seguindo um sentimento geral do mercado que registrou pequenos ganhos no último dia.
