Image by Pete Linforth from Pixabay
אדם כהן
30/07/2022
בחודש האחרון הובחנה ע"י חוקרי חברת סנטינל וואן פעילת של הכנופיה שהדביקה כ 30,000 קורבנות ברחבי העולם תוך שימוש בלינוקס וניצול חולשות באפליקצית ענן וטעויות קינפוג של שרתי ענן. הקבוצה מנצלת גרסא חדשה של בוטנט, שמשתמש בערוצי IRC, בשם PwnRig, שלאחר ההדבקה מבצע פעילות כריית מטבעות קריפטו תוך ניצול משאבי המחשוב של הקורבן.
הקבוצה הזו מוכרת זה שנים רבות, וזוהתה לראשונה בשנת 2018 על ידי חוקרים של חברת Talos, שמצביעים על מוצאה כסיני. היא זכתה לשם ״Gang 8220 ״ בשל העובדה שניצלה את פורט 8220 לתקשורת בין המחשבים המודבקים לבין שרת השליטה (C2).
עד לאחרונה נצפתה כשהיא מדביקה בערך 2000 מחשבי קורבן ברחבי העולם לצורך כריית קריפטו. אולם, בחודש האחרון נצפה קמפיין חדש של הקבוצה, שהגדיל משמעותית את יכולת ההדבקה וניצול הקורבנות שלה- לכמות של כ 30 אלף בערך. הקבוצה משתמשת ב Miner (רושעה שמיועדת לכריית מטבעות קריפטו, בצורה ״שקטה״ ואיטית), תוך ניצול חולשות בדוקרים, שרתי Hadoop, Redis ו- Drupal. הקורבנות של הקבוצה הם משתמשים של שירותי ענן שונים כגון אמזון, GCP, Azure ואחרים, ללא שיוך גיאוגרפי ספציפי, שמפעילים אפליקציות שונות הפתוחות לרשת האינטרנט כגון Docker, Confluence, .Apache WebLogic ההדבקה מבוצעת בעזרת Brute Force שמנסה מאות סיסמאות ברירת מחדל שמקודדות (כ Hard Code) לתוך התקני לינוקס שונים. לאחר ההדבקה הרושעה מחפשת מחשבים נוספים ברשת על מנת להדביקם גם. בנוסף, היא מורידה ומתקינה Miner בשם PwnRig (שמבוסס על כלי כרייה בקוד פתוח שנקרא XMRig).
בסיכומו של דבר, הקבוצה מפעילה כלי הדבקה פשוטים שמבוססים על הדבקה אופורטוניסטית של מערכות לינוקס בענן שפתוחות לאינטרנט. על אף הפשטות של הכלים והטכניקות, הקבוצה הצליחה להדביק עשרות אלפי מחשבים ברחבי העולם, שמבצעים עבורה פעולות כריית קריפטו ללא ידיעת הקורבנות.
