Cryptojacking na serwerze powiązanym z Departamentem Obrony USA

Michał Misiura
cryptojacking monero, haker i monero Cyberprzestępczość

Odkrycia dokonał łowca nagród z programów bug bounty. Pochodzący z Indii Nitesh Surana znalazł kopalnię Monero na serwerze wykorzystywanym przez domenę amerykańskiego Departamentu Obrony. 

Na początku Surana odkrył błąd serwera powiązanego z domeną Departamentu Obrony USA. Problem dotyczył serwera automatyzacji Jenkins działającego w Amazon Web Services (AWS). Badacz zauważył, że każdy może się do niego zalogować. Ponadto możliwy był także pełny dostęp do systemu plików. W związku z tym atakujący mógł z łatwością umieścić w nim złośliwe oprogramowanie albo zainstalować stały backdoor.

Nitesh zgłosił swoje spostrzeżenia, ale jak okazało się, nie był pierwszym odkrywcą luki. Wykorzystali ją bowiem cyberprzestępcy. Serwer obsługujący domenę Departamentu Obrony USA służył im do wydobywania Monero. Informujący o sprawie portal ZDNet, odnalazł adres portfela wykorzystywany przez botnet. Okazało się, że służy do cryptojackingu już od dłuższego czasu. Stojąca za nim grupa atakowała przede wszystkim użytkowników z Chin. Wzmianki na ten temat wygasły w sierpniu 2018 roku, więc być może to właśnie od tamtego czasu hakerzy wykorzystywali lukę wykrytą przez indyjskiego badacza.

Problem został zgłoszony przez oficjalny formularz bug bounty Depatramentu Obrony. Stany Zjednoczone zainwestowały w ostatnim czasie setki tysięcy dolarów, przeznaczając je na nagrody dla badaczy bezpieczeństwa, którzy wskażą błędy w rządowych systemach. W momencie wykrycia, na adresie Monero, na który trafiały coiny wydobyte na serwerze, było 35,4 XMR wartych 2 700 USD. Prawdopodobnie jednak zyski regularnie wyprowadzano na inne adresy.