Hacker nutzen derzeit eine fünf Jahre alte Sicherheitslücke, um Linux-Server mit einer Schadsoftware zu infizieren, die die Kryptowährung Monero schürft. Die Anfälligkeit mit der Kennung CVE-2013-2618 steckt im Network-Weathermap-Plug-in des Anbieters Cacti. Dabei handelt es sich um ein Open-Source-Tool zur Visualisierung von Netzwerkaktivitäten.
Die jetzt von Forschern von Trend Micro entdeckte Kampagne richtet sich gegen öffentlich zugängliche Linux-Webserver weltweit. Die meisten Opfer der immer noch aktiven Kampagne finden sich demnach in Japan, Taiwan, China und den USA.
Der Exploit wird benutzt, um Code vom Server abzurufen, und dann über die Sicherheitslücke besagten Code zu verändern und den Krypto-Miner zu installieren. Der schädliche Prozess wiederum wird anschließend alle drei Minuten ausgeführt, um im Fall eines Neustarts des Servers so schnell wie möglich den Schürfvorgang fortzusetzen.
Der Miner selbst ist ein legitimer Monero-Miner, der unter einer Open-Source-Lizenz vertrieben wird. Er wird im Hintergrund ausgeführt. Um die Aktivitäten des Miners zu tarnen, können die Angreifer die von ihm verursachte maximale CPU-Auslastung steuern.
Die Forscher fanden bei ihrer Analyse auch eine Krypto-Geldbörse, in der ein Angreifer 320 Monero gespeichert hatte – umgerechnet knapp 75.000 Dollar. Es sei allerdings nur ein geringer Teil des erwirtschafteten Gesamtprofits. Den schätzen die Forscher auf ungefähr 3 Millionen Dollar.
Trend Micro rät betroffenen Server-Betreibern, das Network-Weathermap-Plug-in von Cacti so schnell wie möglich zu aktualisieren. Zudem sollen Betreiber das Plug-in nicht auf öffentlich zugänglichen Servern ausführen. „Daten von Cacti sollten intern gehalten werden. Wenn diese Daten durchsickern, besteht ein großes Risiko für die operative Sicherheit“, schreiben die Forscher in einem Blogeintrag. Nicht nur Netzwerkadministratoren, sondern auch Angreifer seien möglicherweise in der Lage, mithilfe des Plug-ins jegliche Netzwerkaktivitäten zu überwachen.
Symantec weist in seinem aktuellen Internet Security Threat Report darauf hin, dass die sogenannten Crypto-Jacking-Angriffe im Zuge der stark gestiegenen Kurse für Krypto-Währungen immer beliebter werden. 2017 soll die Zahl dieser Angriffe um 8500 Prozent zugenommen haben. Da Server eine deutliche größere Rechenleistung haben als gewöhnliche Desktop-PCs sind sie – inklusive ihrer Linux-Vertreter – ein sehr beliebtes Ziel für Crypto-Jacking.
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…