Специалисты ИБ-компании Imperva, изучающие при помощи специального ПО состояние СУБД в онлайне, обнаружили вредоносную кампанию, в ходе которой злоумышленники атакуют серверы PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве приманки они применяют фотоснимок голливудской актрисы Скарлетт Йоханссон в формате .PNG. Вредоносный код для майнинга загружается с использованием методов стеганографии.
Когда жертва загружает изображение, с помощью brute force (подбор пароля) вредонос пытается получить доступ к СУБД. Далее на скомпрометированной системе с помощью PostgreSQL запускаются Linux- или Unix-команды shell для установки майнера криптовалюты. Вероятность атаки на обычные серверы минимальна, так как по умолчанию доступ к PostgreSQL открыт только с локального хоста, а библиотеки с реализацией пользовательских функций на языке Си необходимо загружать в системный каталог или необходимо изменение настроек PostgreSQL (т. е. для атаки нужны полномочия администратора СУБД).
По словам экспертов Imperva, большинство антивирусных решений не детектируют данные атаки. Судя по всему, они носят целевой характер и направлены на поражение конкретного облачного провайдера или оператора хостинга, предоставляющего доступ к PostgreSQL c применением некорректных с точки зрения безопасности настроек. Также возможно, что атаки используются для организации скрытого майнинга на уже взломанных серверах, поражённых каким-то иным способом (например, через эксплуатацию уязвимости в другом сервисе или веб-приложении) и использующих PostgreSQL как точку для получения скрытого доступа извне.
По данным поисковой системы Shodan, в настоящее время существует порядка 710 тыс. незащищенных серверов PostgreSQL с открытым сетевым портом 5432 , уязвимых к хакерским атакам, из которых 80 тыс. предоставляются AWS.
Ранее эксперты Check Point обнаружили, что от незаконного майнинга криптовалют пострадало 42% компаний. Чаще всего для добычи биткоина и других цифровых валют злоумышленники используют вирус CoinHive, который атаковал каждую пятую организацию в мире. На втором месте Cryptoloot (16%), который в феврале атаковал вдвое больше компаний, чем в январе. Следом расположился набор эксплойтов Rig EK с 15%. Эксперты считают, что криптомайнеры представляют угрозу не только как средства майнинга — со временем они могут быть обучены и другим злонамеренным действиям. Но и без того майнинг — ресурсоемкий процесс, который забирает свободные вычислительные ресурсы. В итоге многие рабочие операции либо начинают замедляться, либо вовсе останавливаются. Проблема также в том, что при майнинге потребляется электричество, а это уже прямые убытки для компаний.
Криптомайнеры — прибыльный бизнес для хакеров. Один из наиболее эффективных ботнетов — Smominru — помог своим владельцам заработать более 3,6 млн. в долларовом эквиваленте. Сейчас действуют и другие майнинг-ботнеты, вроде WannaMine. Все они похожи друг на друга и эксплуатируют практически одни и те же уязвимости. Опасны они тем, что работают без загрузки каких-либо файлов, кроме того, используется «легитимное» ПО вроде WMI и PowerShell, что делает майнинг-вирусы сложными для обнаружения.
Кроме указанных ботнетов существуют еще Adylkuzz и Zealot. У всех них есть одна общая черта — выложенный полтора года назад хакерской группой Shadow Brokers код. Этот код по-прежнему актуален и позволяет злоумышленникам взламывать IoT-системы, ПК и выполнять иные действия.
Применяют майнинг не только хакеры, но и разного рода популярные ресурсы. Например, торрент-трекер The Pirate Bay регулярно добавляет скрипт криптомайнера на свои страницы. Об этом впервые стало известно 17 сентября 2017 г. Именно тогда ресурс впервые протестировал майнер в качестве альтернативы рекламным банерам на сайте. Ресурс никто не взламывал, это администрация трекера приняла решение получить дополнительные средства для поддержания работы.