Od lat działający na Linuksie kopacz kryptowalut został zauważony, wykorzystując legalne witryny do rozprzestrzeniania złośliwego oprogramowania

Niedawne dochodzenie przeprowadzone przez VulnCheck ujawniło kampanię kryptokopania, która od lat przebiegała niezauważona. Aktor odpowiedzialny za tę operację, wykorzystujący koparkę Linuxsys, atakował podatne systemy co najmniej od 2021 roku, realizując konsekwentną strategię, która w dużej mierze opiera się na zainfekowanych, legalnych stronach internetowych w celu dystrybucji złośliwego oprogramowania.

Kampanię tę utrudnia fakt, że atakujący wykorzystują prawdziwe strony internetowe jako kanały dystrybucji złośliwego oprogramowania. Zamiast umieszczać ładunki w podejrzanych domenach, atakujący włamują się na strony internetowe osób trzecich z ważnymi certyfikatami SSL i umieszczają tam linki do pobierania. Pomaga im to nie tylko ominąć wiele filtrów bezpieczeństwa, ale także odizolować swoją podstawową infrastrukturę (np. witrynę pobierania repositorylinux.org ) od rzeczywistych plików złośliwego oprogramowania.

Między 1 a 16 lipca tego roku analitycy VulnCheck zaobserwowali powtarzające się próby wykorzystania luki w zabezpieczeniach z adresu IP 103.193.177.152 na instancji Apache 2.4.49 w wersji canary. Próby te były powiązane z luką CVE-2021-41773 . Chociaż ta konkretna luka nie jest nowa i nadal stanowi popularny cel, podmiot ją wykorzystujący wyróżniał się.

Atakujący użyli prostego skryptu o nazwie linux.sh , który pobiera zarówno plik konfiguracyjny, jak i plik binarny Linuxsys z listy pięciu zainfekowanych stron internetowych. Należą do nich domeny takie jak prepstarcenter.com , wisecode.it i dodoma.shop , które poza tym wyglądają zupełnie zwyczajnie.

Według wpisu na blogu VulnCheck udostępnionego Hackread.com przed publikacją w środę, lista nie była losowa. Dało to atakującemu możliwość tworzenia kopii zapasowych na wypadek awarii lub awarii jednej ze stron, co pozwalało na niezakłócone rozprzestrzenianie się złośliwego oprogramowania.

Plik konfiguracyjny koparki pobrany z tych stron wskazuje na hashvault.pro jako pulę wydobywczą i identyfikuje portfel powiązany z operacją. Ten portfel otrzymuje niewielkie wypłaty od stycznia 2025 roku, średnio około 0,024 XMR dziennie, czyli około 8 USD.

Choć 8 dolarów brzmi nieznacząco, operacja niekoniecznie ma na celu wysokie przychody. Konsekwencja i czas trwania sugerują inne cele lub być może wzmożoną aktywność wydobywczą w innych miejscach, której jeszcze nie zaobserwowano.

Cofając się w czasie, Linuxsys pojawił się po raz pierwszy w 2021 roku wewpisie blogowym Hala Pomeranza, cenionego eksperta w dziedzinie informatyki śledczej systemów Linux i Unix, analizującym wykorzystanie tego samego CVE. Od tego czasu został on powiązany z wieloma lukami w zabezpieczeniach, o czym świadczą raporty kilku firm zajmujących się cyberbezpieczeństwem. Wśród nich znajdują się najnowsze CVE, takie jak 2023-22527 , 2023-34960 i 2024-36401 .

Wszystkie te luki w zabezpieczeniach zostały wykorzystane za pomocą n-dniowej eksploatacji, stacjonowania treści w zainfekowanej infrastrukturze internetowej oraz trwałych operacji wydobywania danych. Luka n-dniowa to błąd bezpieczeństwa, który jest już znany i zazwyczaj istnieje dla niego rozwiązanie. Nazwa oznacza po prostu, że luka jest publiczna od określonej liczby dni, gdzie „n” oznacza liczbę dni, które upłynęły od pierwszego upublicznienia lub załatania problemu.

Istnieją również dowody na to, że operacja nie ogranicza się do systemu Linux. Na tych samych zainfekowanych hostach znaleziono dwa pliki wykonywalne systemu Windows, nssm.exe i winsys.exe . Chociaż VulnCheck nie zaobserwował ich w działaniu, ich obecność sugeruje szerszy zakres niż tylko systemy Linux.

To, co sprawiło, że ta kampania pozostała tak mało głośna, to prawdopodobnie połączenie starannego doboru celów i celowego unikania honeypotów . VulnCheck zauważa, że atakujący wydaje się preferować środowiska o wysokiej interakcji, co oznacza, że typowe serwery-przynęty często całkowicie pomijają tę aktywność. To ostrożne podejście prawdopodobnie pomogło kampanii uniknąć nadmiernego zainteresowania, pomimo że była aktywna od lat.

VulnCheck udostępnił reguły Suricata i Snort, które wykrywają próby wykorzystania luk w zabezpieczeniach dla wszystkich znanych luk CVE. Jednocześnie wskaźnikami zagrożenia są adresy IP, adresy URL i skróty plików związane z atakiem. Udostępniono również reguły wykrywania, które zespoły ds. bezpieczeństwa mogą wykorzystać do identyfikacji zapytań DNS i ruchu HTTP powiązanego z programem pobierającym i skryptami początkowego ładunku.