Неуловимый вредонос три года добывал криптовалюты на Linux-серверах
Крайне ловкий и скрытный вредонос perfctl не менее трех лет терзал вычислительные ресурсы серверов под Linux, принося хакерам доход.
Сокрытое под половицей
Специалисты по информационной безопасности активно обсуждают недавнее обнаружение вредоносной программы perfctl, которая на протяжении нескольких лет незаметно заражала серверы под Linux с целью генерации криптовалют. По данным фирмы Aqua Nautilus, чьи сотрудники и обнаружили perfctl первыми, считают, что вредонос атаковал миллионы серверов и заразил, самое меньшее, несколько сотен тысяч.
Столь высоким коэффициентом успеха зловредная программа обязана действенным средствам обеспечения скрытности и использованию руткитов.
Как пишут исследователи Aqua Nautilus, добыча криптовалют – основное назначение perfctl: для этого скомпрометированные серверы и используются в первую очередь. Это, однако, не означает, что вредонос не может быть использован для более деструктивной деятельности, например, DDoS-атак.
Заражение серверов происходит, как правило, из-за ошибок в настройках или с использованием утекших реквизитов доступа. Впрочем операторы вредоноса использовали, как минимум, две уязвимости – CVE-2023-33246, ошибка, допускавшая запуск произвольных команд в контексте Apache RocketMQ версий 5.1.0, и CVE-2021-4034, позволявшая повышение привилегий в ПО Polkit.
Невинные названия
После получения первоначального доступа, с сервера злоумышленников скачивается и запускается зашифрованный и замаскированный модуль под названием httpd. Он копирует себя в каталог /tmp под названием sh, удаляя оригинальный исполняемый файл, и создавая новый процесс с тем же названием sh. Поскольку все это названия, характерные для легитимных составляющих экосистемы Linux, вредонос уже становится малозаметным.
После запуска perfctl открывает Unix-сокет для внутренних соединений и устанавливает зашифрованный канал с контрольным сервером злоумышленников через TOR. Обмен данными оказывается не поддающимся дешифрованию, пишут исследователи.
В конце концов, вредонос устанавливает руткит libgcwrap.so, который интегрируется с несколькими системными функциями, чтобы модифицировать механизмы авторизации и перехватывать сетевой трафик с целью избежать обнаружения. Затем в систему устанавливаются несколько дополнительных руткитов, замещающих системные утилиты ldd, top, crontab и lsof их троянизированными версиями. Это опять же делается с целью избежать обнаружения.
На последнем этапе в систему выгружается майнер XMRIG – майнер для добычи криптовалюты Monero, наиболее популярной в киберкриминальной среде. Коммуникации между майнером и майнинговым пулом осуществляются также через TOR, так что отследить доходы – тоже проблема.
Эксперты Aqua Nautilus отметили несколько случаев, когда злоумышленники устанавливали еще и ПО для перехвата и изменения настроек прокси-серверов. Это позволяло им монетизировать еще и не используемую сервером полосу пропускания сетевого трафика. Этот трафик продавался через сервисы типа Bitping, Repocket и Speedshare.
Что характерно, многие владельцы серверов заподозрили неладное, когда увидели, что центральные процессоры их серверов нагружены под 100%. Однако обнаружить вредонос им не удавалось – в том числе потому, что при подключении администратора к серверу майнер немедленно прекращает работу и не возобновляет ее до тех пор, пока администратор не отключится.
Выкорчевать вредонос чрезвычайно сложно: эксперты считают, что единственный гарантированно рабочий способ – это удалить с сервера все данные и переустановить ПО заново.
Эксперты также рекомендуют наладить мониторинг каталогов /tmp, /usr и /root на предмет посторонних двоичных файлов, отслеживать всплески использования CPU и процессы, в особенности httpd и sh, запускаемых из нештатных локаций и проверить ~/.profile, ~/.bashrc и /etc/ld.so.preload на предмет несанкционированных изменений. Сетевой трафик с TOR-соединениями и/или подключениями к известным криптомайнинговым пулам – это тоже явный признак компрометации. Эксперты Nautilus представили в своей публикации ряд IP-адресов, которые необходимо заблокировать, – они так или иначе связаны с perfctl. Естественно, все ПО на сервере должно быть обновлено до последних версий, и также нелишним будет отключить любые неиспользуемые HTTP-службы.
«В принципе, использование рекомендуемых практик в отношении безопасности серверов – это практически гарантия того, что никакие криптомайнеры в вашу систему затесаться не смогут, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – В то же время слабые пароли, слишком легко доступные консоли управления, незакрытые уязвимости – все это пригласительный билет для самых разных вредоносных программ, включая шифровальщики».
По мнению специалистов Aqua Nautilus, perfctl оставался незаметным не менее трех лет.