AMD Epyc-servrar kapades med syfte att bryta kryptovaluta

Kryptovalutor och illasinnade användare som vill lägga vantarna på de digitalt framgrävda myntslagen hör inte längre till ovanligheterna. Det var knappt en månad sedan ett av årets största angrepp mot kryptomarknaden Bitmart ägde rum, där hackare stal kryptovalutor till ett värde av över 150 miljoner USD. Dock är stöld av valutan inte det enda sättet att roffa åt sig pengar. Nu framkommer att "lånad" processorkraft utnyttjats för brytning av kryptovaluta.

Tidigare i december angreps ett gäng HP 9000-servrar med AMD Epyc-processorer med hjälp av skadlig kod, där målet var att bryta kryptovalutan Raptoreum. Intrånget skedde genom att utnyttja en sårbarhet vid namn Log4shell, vilket är en del av Java-baserade Apache Log4j. Attacker utförda med hjälp av Log4j är allvarliga eftersom de tillåter en angripare att exekvera kod samt komma förbi behörigheter på målsystemet, allt detta utan fysisk tillgång till hårdvaran.

During the attack, many servers were breached, each outputting a significant amount of hash power on very high-end server equipment. Very few organizations in the world have their hands on this kind of hardware, making it extremely unlikely that the attack was done using the individual's own hardware

Enligt utvecklare bakom kryptovalutan Raptoreum (RTM) kunde de se en dubblering av brytning på nätverket redan första dagen av angreppet, från 200 MH/s till 400 MH/s. Detta fick utvecklarna att starta en egen utredning grundad på starka misstankar om utnyttjade servrar, bland annat då samtliga anslutna klienter med onormalt hög brytning hade HP i sitt namn. Denna nivå av brytning kräver sofistikerad och dyr hårdvara, något väldigt få organisationer eller privatpersoner har tillgång till.

De påverkade servrarna var vid tillfället inte uppdaterade för skydd mot Log4shell-attacker, vilket ledde till att överträdelsen kunde pågå mellan 9 december och 17 december. Innan angreppet kunde åtgärdas hade förövarna kommit över drygt 3,4 miljoner RTM-polletter, med ett värde på uppskattningsvis 1,1 miljoner kronor.

RTM-utvecklarna säger även att det finns åtminstone en aktiv maskin kvar på nätverket som fortsatt bryter valutan i onormalt hög takt. Enligt RTM-utvecklarna måste det handla om en server som misslyckats med att uppdateras för att täppa till säkerhetshålet. Att patcha för framtida Log4shell-attacker är nämligen inte något som nödvändigtvis går snabbt eller är enkelt att utföra, detta då hela Log4j-biblioteket och program som nyttjar biblioteket måste uppdateras individuellt.

Källa: Tom's Hardware