Зафиксированы атаки для майнинга криптовалюты на уязвимых серверах Samba и на Raspberry Pi
13.06.2017
Уязвимость в Samba требует для своей эксплуатации возможности записи в раздел. Как правило, разделы Samba экспортируются только для локальной сети, а наличие разделов Samba с доступом на запись, которые можно примонтировать из внешней сети без авторизации, само по себе уже является уязвимостью и встречается чрезвычайно редко. Отмеченная исследователями атака в основном актуальна как второй этап распространения влияния злоумышленников после первичного взлома клиентских систем в корпоративных локальных сетях. Например, первый этап взлома может осуществляться с использованием методов социальной инженерии через отправку троянского ПО сотрудникам по электронной почте. После запуска троянского ПО осуществляется сканирование доступных в локальной сети серверных систем и поражение тех, что содержат неисправленных уязвимости.
Масштаб атаки пока неизвестен, удалось узнать только характеристики кошелька, на которые поступают полученные в результате майнинга средства. За месяц на кошелёк поступило 98 XMR (около 5.5 тысяч долларов).
Дополнительно можно отметить волну атак на платы Raspberry Pi, которые подключены к глобальной сети без смены устанавливаемого по умолчанию пароля (логин pi, пароль raspberry). Исследователи из компании «Доктор Веб» выявили вредоносное ПО Linux.MulDrop.14, которое сканирует сетевые устройства с пользователем pi и типовыми паролями, задаваемыми по умолчанию, после чего устанавливает на них ПО ZMap, sshpass и компонент для майнинга криптовалют, меняет пароль для пользователя pi и запускает цикл сканирования устройств при помощи zmap с попытками входа по ssh и запуска своей копии.