Cyber zloději ukradli Monero přes FTP server

Pozornost zlodějů se nezaměřuje pouze na Bitcoin – „ukradli“ také poměrně novou měnu Monero. Dosáhli toho nahráním malware, jež zneužívá výpočetní síly ftp serveru.

Monero je novou měnou a stále ho lze ziskově těžit pomocí obyčejného stolního počítače. I tak již přitáhlo pozornost autorů malware a kyberzločinců, kteří neváhali infikovat FTP server, aby se k měně dostali.

Attila Marosi, zkušený analytik firmy Sohpos v oblasti počítačové bezpečnosti, objevil tento škodlivý kód, přezdívaný Mal/Miner-C. Šíří se efektivní technikou a zotročuje stroje, které pak využívá k těžbě měny. Také se pokouší duplikovat, když narazí na nedostatečně chráněné ftp lokace, dodává Marosi.

Analytik odhaduje, že Mal/Miner-C zatím vytěžil Monero v hodnotě asi 86 000 dolarů. Pomocí infikovaných strojů je schopen vytěžit měnu za zhruba 480 dolarů denně. Sám Marosi uvádí:

„Dalším znepokojivým faktem je to, že 2,5% kapacity celé těžební sítě Monera je ovládáno zotročenými stroji.“

Zranitelné místo: Seagate NAS Drive

Marosiho zpráva si posvítila hlavně na Seagate Central, NAS zařízení (datové úložiště na síti), které obsahuje kritickou chybu. Tato chyba umožňuje hackerům ovládnout Seagate Central a rozeslat malware na všechna zařízení, která mají vzdálený přístup k tomuto disku.

Díky vzdálenému přístupu na FTP server může anonymní uživatel získat přístup do veřejné složky a nahrát jakýkoli soubor. V případě Mal/Miner-C útočníci nahráli soubor, který se tváří jako spořič obrazovky – Photo.scr, do složky Photos. Na první pohled neškodný soubor tak zavleče malware na počítač každého, kdo si ho stáhne a spustí. Znemožnění vzdáleného přístupu sice problém vyřeší, ale také znemožní tento vzdálený přístup, který je samou podstatou FTP serverů. To popírá vlastní účel NAS a není zrovna dobrým řešením.

Marosi napsal: „Většina těchto zařízení již byla nakažena“.

Za pomoci IoT vyhledávače Censys Marosi prohledal internet a zhruba tři miliony FTP serverů, aby zjistil, jak je hrozba vážná. Během tohoto testu bylo 2,1 milionu serverů aktivních a 207 000 z nich umožňovalo vzdálený přístup. 7 000 serverů mělo dokonce povolen zápis anonymními uživateli. 5 137 z nich už bylo napadeno Mal/Miner-C.

Seagate Central sice není jediným zranitelným NAS zařízením, ale tvoří drtivou většinu těch napadených. Mal/Miner-C se zaměřil zejména na www.moneropool.com, zjistil Marosi. Další průzkum odhalil, že infikované servery mají kapacitu 431kHash za sekundu, což je polovina kapacity celého těžebního poolu, která činí 861kHash/s.

Žádný server není dost malý

Marosiho zpráva uvádí, že útočníci již ovládli přes 70% serverů, které umožňují zápis. Marosi také uvedl:

„Pokud si myslíte, že váš server je malý a bezvýznamný, a vyhnete se tak zájmu kyberzločinců, tak myslete znovu. Správné nastavení bezpečnostní politiky není vhodné jen pro velké servery, jak dokazuje popsaný příklad“.

Upřímně, nejste-li součástí řešení, pak jste součástí problému.

Související

PŘIDEJTE SE DO DISKUZE