Ερευνητές προειδοποιούν για επιθέσεις Linux Cryptojacking από τη Ρουμανία
Μια ομάδα του κυβερνοχώρου που πιθανώς εδρεύει στη Ρουμανία και δραστηριοποιείται τουλάχιστον από το 2020 φαίνεται να βρίσκεται πίσω από μια ενεργή εκστρατεία κρυπτογράφησης που στοχεύει μηχανές που βασίζονται σε Linux με έναν μη καταχωρημένο έγγραφο SSH brute-forcer γραμμένο σε Golang.
“Diicot brute”, ονομάστηκε το εργαλείο διάρρηξης κωδικού πρόσβασης καθώς υπάρχουν υποψίες ότι διανέμεται μέσω ενός μοντέλου software-as-a-service, με κάθε παράγοντα απειλής να παρέχει τα δικά του μοναδικά κλειδιά API για να διευκολύνει τις εισβολές, αναφέρουν ερευνητές σε μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα.
Ενώ ο στόχος της καμπάνιας είναι να αναπτύξει κακόβουλο λογισμικό εξόρυξης Monero, χρησιμοποιώντας εξ αποστάσεως τις συσκευές μέσω επιθέσεων brute-force,. Οι ερευνητές συνέδεσαν τη συμμορία με τουλάχιστον δύο botnets DDoS επιθέσεις, συμπεριλαμβανομένης μιας παραλλαγής Demonbot που ονομάζεται chernobyl και ενός bot Perl IRC, με το XMRig να φιλοξενείται σε έναν domain που ονομάζεται mexalz [.] από τον Φεβρουάριο του 2021.
Η ρουμανική εταιρεία τεχνολογίας κυβερνοασφάλειας δήλωσε ότι ξεκίνησε την έρευνά της για τις εχθρικές διαδικτυακές δραστηριότητες του ομίλου τον Μάιο του 2021, οδηγώντας στην επακόλουθη ανακάλυψη της υποδομής και του εργαλείου επίθεσης.
Η ομάδα είναι επίσης γνωστή ότι βασίζεται σε μυστικά κόλπα που τους επιτρέπουν να γλιστρήσουν κάτω από τα ραντάρ ασφαλείας. Για το σκοπό αυτό, τα σενάρια Bash μορφοποιούνται με ένα πρόγραμμα shell script (shc) ενώ βρέθηκε ότι αξιοποιεί το Discord για να αναφέρει τις πληροφορίες πίσω σε ένα κανάλι που βρίσκεται υπό τον έλεγχό του. Μια τεχνική που εδραιώνεται όλο και περισσότερο μεταξύ χάκερ καθώς τους διευκολύνει στην επικοινωνία και αποφεύγουν την εντόπιση τους.
“Οι χάκερ που «κυνηγού» αδύναμα διαπιστευτήρια SSH δεν είναι ασυνήθιστο”, ανέφεραν οι ερευνητές. “Μεταξύ των μεγαλύτερων προβλημάτων ασφάλειας είναι τα προεπιλεγμένα ονόματα χρηστών και οι κωδικοί πρόσβασης ή τα αδύναμα διαπιστευτήρια που οι χάκερ μπορούν να ξεπεράσουν εύκολα με brute force. Το δύσκολο μέρος δεν είναι απαραίτητα το brute force αυτών των διαπιστευτηρίων, αλλά το να γίνει με τρόπο που επιτρέπει στους εισβολείς να μην εντοπίζονται.”
