Rumuńska grupa Cryptojacking Group Brute-Forces Linux Passwords

Gang hakerów skoncentrowany na krypto-jackingu i prawdopodobnie działający poza Rumunią, używa zupełnie nowego narzędzia do hakowania haseł metodą brute-force i atakuje systemy oparte na Linuksie. Narzędzie grupy nazywa się Diicot Brute i nigdy wcześniej nie spotkało się z nim badacze bezpieczeństwa.

Narzędzie Diicot Brute to narzędzie brute-forcer haseł SSH, które próbuje złamać słabe, źle skonstruowane hasła na komputerach z systemem Linux. Gdy hakerzy uzyskają dostęp, wdrażają kryptominera, który współpracuje z kryptowalutą Monero.

Praktyka cryptojackingu nie jest szczególnie nowa. Hakerzy od lat wykorzystują złośliwe narzędzia skoncentrowane na kryptowalutach w celu uzyskania nielegalnych zysków. Cryptojacking odnosi się do złych aktorów, którzy potajemnie instalują złośliwe narzędzie do wydobywania kryptowalut na maszynie ofiary, a następnie używają jej sprzętu i zasobów do wydobywania waluty, która trafia do portfela hakera.

Oczywiście korzystanie z cudzego sprzętu jest znacznie tańsze niż założenie dedykowanej farmy kryptograficznej i płacenie wygórowanych rachunków za prąd, więc przedsiębiorczy hakerzy zawsze szukają łatwych pieniędzy, korzystając z komputerów swojej ofiary.

Według naukowców narzędzie Diicot Brute twierdzi, że ma zdolność wykrywania i unikania siedlisk. Sądząc po tym, że został złapany tylko w jednym takim środowisku testowym, wydaje się wskazywać, że Diicot wciąż ma trochę pracy do zrobienia.

Połączenie kryptomalware z Rumunią pochodzi z jego interfejsu - Diicot Brute ma interfejs, który jest prezentowany w części rumuńskiej, a częściowo angielskiej.

Hakerzy używają również Discord do przekazywania im informacji. Jest to coraz częstsze zjawisko, ponieważ kilka innych kampanii złośliwego oprogramowania w ciągu ostatnich kilku miesięcy wykorzystywało infrastrukturę Discord do pomocy w nielegalnych działaniach.

Sposób działania szkodliwego oprogramowania polega na tym, że najpierw wyszukuje serwery SSH za pomocą skanowania portów. Następnym krokiem jest rzeczywisty krok wymuszający brute, działający do momentu znalezienia prawidłowych poświadczeń. Wreszcie złośliwe oprogramowanie łączy się za pomocą złamanych danych uwierzytelniających za pomocą protokołu SSH, a następnie wdraża swój ładunek do wydobywania kryptowalut.

Zniechęcającym wnioskiem wynikającym z raportu bezpieczeństwa dotyczącego rumuńskich hakerów jest to, że powodem, dla którego ich narzędzie działa, są po prostu „ludzie”. Mimo że społeczność Linuksa słynie z obsesyjno-kompulsywnego zachowania, jeśli chodzi o bezpieczeństwo, oczywiście nadal istnieje wiele słabych haseł, które umożliwiają działanie podobnych zestawów brutalnej siły.