Peneliti Melacak Intrusi Linux ke Gang Cryptojacking

0

Peneliti keamanan Bitdefender telah menemukan kelompok ancaman berbasis di Rumania yang aktif setidaknya sejak tahun lalu yang menargetkan mesin berbasis Linux dengan kredensial Secure Shell Protocol (SSH) yang lemah.

Para peneliti menemukan kelompok itu menyebarkan malware penambangan Monero yang digunakan untuk mencuri cryptocurrency. Malware itu juga memungkinkan jenis serangan lain, menurut Christoph Hebeisen, direktur penelitian intelijen keamanan di Lookout, sebuah perusahaan keamanan endpoint-to-cloud, yang tidak terkait dengan laporan Bitdefender.

Fungsionalitas tambahan itu dapat membuka pintu untuk aktivitas jahat seperti mencuri informasi, gerakan lateral, atau botnet,” katanya kepada LinuxInsider.

Wawasan yang menghubungkan grup dengan sudut pandang Linux adalah salah satu insiden terbaru yang melibatkan kerentanan yang terkait dengan Linux. Sistem operasi adalah platform komputasi yang ketat dan aman dari atas ke bawah. Masalah dengan melanggar sistem Linux sering dikaitkan dengan kesalahan konfigurasi dan kurangnya perhatian pengguna terhadap masalah keamanan.

“Keadaan keamanan Linux saat ini telah berkembang secara positif dengan lebih banyak visibilitas dan fitur keamanan bawaan. Namun, seperti banyak sistem operasi, Anda harus menginstal, mengonfigurasi, dan mengelolanya dengan mempertimbangkan keamanan karena begitulah cara penjahat siber memanfaatkan sentuhan manusia,” Joseph Carson, kepala ilmuwan keamanan dan Advisory CISO di Thycotic, penyedia identitas cloud solusi keamanan yang juga tidak terkait dengan laporan Bitdefender, kepada LinuxInsider.

Trik Lama Dengan Alat Baru
Peretas menyerang komputer yang menjalankan kredensial SSH yang lemah tidak jarang, menurut blog Bitdefender yang diposting pada 15 Juli. Serangan itu dibuat lebih mudah bagi peretas karena operator komputer sering menggunakan nama pengguna dan kata sandi default atau kredensial SSL yang lemah.

Peretas dapat mengatasi kelemahan umum tersebut dengan mudah dengan kekerasan. Trik untuk peretas adalah melakukannya dengan cara yang memungkinkan penyerang tidak terdeteksi, menurut Bitdefender.

Serangan brute force dalam kriptografi melibatkan penyerang yang mengirimkan banyak kata sandi atau frasa sandi dengan harapan dapat menebak dengan benar. Peneliti dapat mengidentifikasi kelompok hacker dengan alat dan metode yang mereka gunakan.

Jumlah alat asli dalam kampanye ini dan kerumitannya menunjukkan bahwa individu atau kelompok dengan keterampilan yang signifikan menciptakan alat ini, saran Hebeisen dari Lookout.

“Aktor di balik kampanye cryptojacking bertujuan untuk menggunakan sumber daya komputasi pihak ketiga untuk menambang cryptocurrency untuk keuntungan finansial mereka. Cryptomining sangat intensif secara komputasi dan dengan demikian, memiliki instance cloud yang diambil alih oleh cryptojacking dapat menaikkan biaya cloud untuk korban, ”kata Hebeisen tentang perlunya peretas untuk mengkompromikan sejumlah besar komputer pribadi dan perusahaan.

Memetakan Penemuan Serangan
Grup aktor ancaman Bitdefender dilacak menggunakan alat peretasan tradisional. Para peneliti menemukan di antara toolkit peretas sebuah bruteforcer SSH yang sebelumnya tidak dilaporkan yang ditulis dalam bahasa pemrograman open-source Golang, menurut Bitdefender.

Para peneliti percaya alat ini didistribusikan sebagai model layanan, karena menggunakan server antarmuka pemrograman aplikasi (API) terpusat. Aktor ancaman dalam grup menyediakan kunci API mereka dalam skrip mereka.

“Seperti kebanyakan alat lain dalam kit ini, alat brute force memiliki antarmuka dalam campuran bahasa Rumania dan Inggris. Ini membuat kami percaya bahwa penulisnya adalah bagian dari grup Rumania yang sama,” tulis blog keamanan siber Bitdefender.

Para peneliti mulai menyelidiki kelompok ini pada bulan Mei karena kampanye cryptojacking mereka dengan pemuat perangkat lunak yang sama. Mereka kemudian melacak malware ke server file di direktori terbuka yang juga menghosting file lain dan diketahui menghosting malware lain sejak Februari.

Para peneliti keamanan menghubungkan alat asli dalam perangkat lunak peretas ini dengan serangan yang terlihat di alam liar. Sebagian besar peretas memiliki metode dan teknik favorit mereka. Ketika digunakan cukup sering, ini menciptakan sidik jari umum yang dapat digunakan untuk melacaknya secara digital, menurut Carson dari Thycotic.

“Yang sulit dilacak adalah mereka yang bersembunyi di balik kode curian atau tidak pernah menggunakan kembali metode dan teknik yang sama lagi. Untuk setiap kampanye baru, mereka melakukan sesuatu yang sama sekali berbeda,” katanya.

Namun, penyerang yang cenderung mengambil jalan ini biasanya memiliki dana dan sumber daya yang baik. Sebagian besar penjahat dunia maya akan mengambil jalan yang mudah dan menggunakan kembali sebanyak mungkin alat dan teknik yang ada.

“Itu akan sangat tergantung pada apakah penyerang peduli untuk ditemukan atau tidak. Semakin banyak langkah yang diambil penyerang untuk tetap bersembunyi cenderung berarti mereka beroperasi di dalam negara yang dapat dituntut jika ditemukan, ”tambahnya.

Taktik Hacker Berisiko
Sebagian besar kampanye cryptojacking adalah tentang mencuri sumber daya dan energi komputasi. Itu memotivasi pelaku ancaman untuk membatasi dampak sehingga mereka bisa tetap tersembunyi selama mungkin, menurut Carson.

Dampaknya bagi organisasi adalah hal itu dapat memengaruhi kinerja operasi bisnis dan menghasilkan tagihan energi yang besar dan, seiring waktu, dapat mencapai ribuan dolar. Risiko lain adalah bahwa cryptojacking dapat meninggalkan pintu belakang, memungkinkan penjahat dunia maya lainnya untuk mendapatkan akses dan menyebabkan kerusakan lebih lanjut, seperti ransomware.

“Teknik yang digunakan telah terlalu sering dibagikan di darknet, sehingga memudahkan siapa saja yang memiliki komputer dan koneksi internet untuk memulai kampanye cryptojacking. Tujuan akhirnya adalah menambang cryptocurrency untuk mendapat untung dengan mengorbankan orang lain, ”kata Carson.

Keberhasilan atau kegagalan peretas dalam kampanye distribusi malware bergantung pada individu yang benar-benar menjalankan malware (cryptojacking atau lainnya), kata Karl Steinkamp, direktur produk PCI dan jaminan kualitas di Coalfire; tidak terkait dengan laporan Bitdefender. Menelusuri orang-orang di balik kegiatan akan bervariasi, katanya.

“Beberapa aktor jahat ini menggunakan hosting antipeluru, sementara yang lain menggunakan hosting di lokasi di mana penegak hukum kesulitan terlibat. Ada juga aktor jahat yang menjalankan operasi langsung dari lokasi utama mereka, dan untuk segelintir orang terpilih ini, seringkali sepele untuk melacak dan menangkap orang-orang ini, ”kata Steinkamp kepada LinuxInsider.

Korban Banyak, Setelah Ditemukan
Penyerang memegang tangan atas dalam mendapatkan hasil serangan yang sukses. Sebagian, itu karena tidak ada kekurangan mesin Linux yang dikompromikan dengan kredensial SSH yang lemah, kata Bitdefender.

Menemukan mereka adalah di mana triknya bersembunyi.

Penyerang melakukan perburuan korban dengan memindai server jaringan untuk mengetahui kredensial SSH yang lemah. Proses itu terjadi dalam tiga tahap, jelas blog Bitdefender.

Penyerang meng-host beberapa arsip di server. Ini berisi rantai alat untuk memecahkan server dengan kredensial SSH yang lemah. Tergantung pada panggung, penyerang menggunakan alat yang berbeda.

Tahap pertama adalah pengintaian. Toolkit peretas mengidentifikasi server SSH melalui pemindaian port dan pengambilan spanduk. Alat yang di mainkan disini adalah ps dan masscan.

•Tahap kedua adalah akses kredensial.  Peretas mengidentifikasi kredensial yang valid melalui kekerasan.


•Tahap ketiga adalah akses awal.  Peretas terhubung melalui SSH dan mengeksekusi muatan infeksi.

Kelompok peretas menggunakan 99x / haiduc (keduanya malware Outlaw) dan ‘brute’ untuk dua tahap terakhir.

Empat Kunci Agar Tetap Aman
Cryptojacking memungkinkan pelaku jahat untuk melakukan semua aspek tradisional malware, dengan manfaat tambahan menambang beberapa iterasi aset kripto. Bergantung pada distribusi/pengemasan malware dan kemampuan teknis pelaku kejahatan, penambang kripto ini sering menargetkan Monero, Ethereum, dan/atau Bitcoin, jelas Steinkamp.

Banyak dari paket malware cryptojacking ini dijual di situs bawah tanah untuk memungkinkan aktor jahat pemula hingga ahli untuk berpartisipasi secara serupa. Mendapatkan akses administratif ke satu atau lebih host Linux melalui kerentanan SSH, sistem, atau aplikasi akan memungkinkan mereka pijakan untuk mencoba berkompromi dengan host dan kemudian menyebar secara lateral dan vertikal di dalam organisasi, katanya.

“Organisasi yang memiliki manajemen konfigurasi yang kuat, peringatan, manajemen log, integritas file, dan respons insiden umumnya akan lebih baik untuk merespons infeksi malware seperti cryptojacking,” kata Steinkamp ketika ditanya tentang upaya perlindungan untuk menggagalkan serangan tersebut.

Jika malware cryptojacking didasarkan pada keluarga seperti malware atau contoh penggunaan kembali kode di seluruh malware, aturan dan heuristik antimalware kemungkinan akan mengambil varian cryptojacking malware yang lebih baru, lanjutnya.

Kehadiran malware cryptojacking untuk mencoba bersembunyi menggunakan kompiler skrip shell dapat segera dibalik menggunakan alat freeware yang ditemukan di Github, memungkinkan tim keamanan untuk mendekompilasi malware berdasarkan x86, x64, MIPS, dan ARM.

Dalam hal aktor jahat menggunakan mekanisme perintah dan kontrol (C2) yang berbeda untuk pelaporan informasi, ini adalah kejadian baru tetapi tidak terduga, menurut Steinkamp. Malware Cryptojacking telah dan terus menggunakan IRC dan HTTP untuk komunikasi, dan sekarang kita melihat Discord.

“Masing-masing dari ini, secara default, mengirimkan informasi kunci dari host yang disusupi dalam teks yang jelas, memungkinkan korban untuk masuk dan dengan mudah melihat komunikasi. Keduanya, bagaimanapun, juga dapat dikonfigurasi untuk menggunakan SSL, membuat pelacakan lebih sulit, ”katanya.

Posting Komentar

0 Komentar
* Please Don't Spam Here. All the Comments are Reviewed by Admin.
Posting Komentar (0)
Our website uses cookies to enhance your experience. Learn More
Accept !