وجد المهاجمون المجهولون طريقة لاستخدام تطبيق التورنت الشهير rTorrent لتعدين العملات المشفرة. يتم استخدام التطبيق نفسه على أنظمة تشبه Unix ، والتي تعتبر ، من حيث المبدأ ، أكثر أمانًا من حيث القرصنة من Windows.
ومع ذلك ، مع العناية الواجبة ، يمكن أيضًا العثور على ثغرة في Unix. صحيح أن مستخدم النظام ، الذي يسمح بنفسه للبرامج الضارة بأداء مهامها ، هو المسؤول عن 99٪. هذا ما حدث في القضية الحالية.
منذ وقت ليس ببعيد ، تحدث باحث الأمن السيبراني Tevis Ormandy من Google Project Zero عن الثغرات الأمنية في تطبيقات Bittorent الشائعة - uTorrent and Transmission. أجرى الباحث إثباتًا ناجحًا للهجوم المفاهيمي ، بناءً على الثغرة الأمنية في واجهة JSON-RPC. يتم استخدامه للتأكد من أن المستخدم ، دون علمه ، يقوم بتنزيل البرامج الضارة.
شيء
مماثل ذو صلة في حالة rTorrent ، هنا فقط يستغل المهاجمون واجهة rTorrent XML-RPC ، والتي تستخدم HTTP و XML للحصول على إدخال من الأنظمة البعيدة. في الوقت نفسه ، لا يتطلب rTorrent أي مصادقة حتى تعمل الواجهة. والأسوأ من ذلك ، إذا لزم الأمر ، يمكن للمهاجمين تنفيذ الأوامر على سطر الأوامر في نظام التشغيل حيث يعمل rTorrent.
يقوم المهاجمون بفحص الإنترنت للعثور على أجهزة الكمبيوتر التي تستخدم rTorrent وتطبيقاتها ، ثم يستغلون ثغرة أمنية لتثبيت برامج يقوم Minero بالتعدين فيها. هذه عملة مشفرة تعتبر مجهولة تمامًا. إنها تحظى بشعبية بين جميع أنواع المجرمين الإلكترونيين (العملة المشفرة نفسها "بيضاء" تمامًا ، إنها مجرد أداة) ، نظرًا لأن تتبع المعاملات أمر صعب للغاية ، إن أمكن.
في الوقت الذي ظهرت فيه المعلومات حول المنجم الجديد على الشبكة ، تمكن المهاجمون من استخراج حوالي 4000 دولار بالفعل بالدولار. في يوم واحد ، يقوم المهاجمون بتعدين العملات المشفرة بحوالي 43 دولارًا.
تكمن المشكلة في هذه الحالة في أن rTorrent لا يتطلب من المستخدم اتخاذ أي إجراء لتنفيذ العمليات التي يحتاجها المهاجمون. هذا هو السبب في أن عميل التورنت أكثر خطورة من "زملائه" uTorrent و Transmission. يمكن إصابة هذا الأخير فقط إذا قام المستخدم بزيارة مواقع ضارة ببرامج متخصصة.
حسنًا ، في حالة rTorrent ، كل شيء أبسط - العميل نفسه يزور كل ما هو مطلوب ، ويخفي أفعاله عن المستخدم. تجدر الإشارة إلى أن مطور rTorrent لا يوصي المستخدمين باستخدام وظائف RPC للعميل لمنافذ TCP. بقدر ما تستطيع أن تفهم ، لا يتم تمكين واجهة XML-RPC بشكل افتراضي ، لذلك يقوم المستخدمون بذلك بأنفسهم ، ويجدون أنه ملائم بما فيه الكفاية.
لا تقوم البرامج الضارة التي تم تنزيلها باستخدام rTorrent بتنزيل عامل المنجم فقط (هذا البرنامج ، الذي يبدو غير ضار ، يستهلك موارد الكمبيوتر الخاصة بالمستخدم). كما يقوم بمسح النظام بحثاً عن وجود "منافسين". إذا كانت موجودة ، يحاول التطبيق حذفها بحيث تذهب جميع الموارد إلى هذا البرنامج. في الوقت الحالي ، يكتشف 3 مضادات فيروسات فقط من أصل 59 أكثر أو أقل شيوعًا. ربما قريبا سيزداد عددهم.
يدعي المطور rTorrent أنه في الوقت الحالي لا يمكنه إطلاق التصحيح ، لأنه لا يفهم تمامًا أنه يستخدم البرامج الضارة لإصابة البرنامج. إذا تم اكتشاف ثغرة أمنية ، فسيتم تحرير التصحيح على الفور. وفقًا للمطور ، لا تؤثر البرامج الضارة إلا على إصدارات rTorrent التي يعدلها المستخدمون. يحتوي البرنامج على الكثير من الميزات الموثقة وليس للغاية التي يتم استخدامها بالكامل ، ولا يستطيع المطور التحقق من جميع التركيبات الممكنة وأنماط التشغيل.
حتى الآن ، يُنصح المستخدمون الذين يستخدمون rTorrent بفحص أنظمتهم بحثًا عن الفيروسات. في الوقت الحالي ، يعد Coinhive أكثر شركات التعدين شيوعًا. فوجئ مطوروها ، بكلماتهم الخاصة ، بشكل غير سار بشعبية مشروعهم بين المهاجمين.
يقول أحد أعضاء الفريق: "لقد اندهشنا من الانتشار السريع للرمز". "أثناء العمل في المشروع ، كنا ساذجين تمامًا ، لأننا لا نعتقد أن عمال المناجم سيستخدمون من قبل مجرمي الإنترنت. أردنا أن يستخدم مالكونا الرمز الخاص بنا ، ويستخدمه بشكل مفتوح ، ويحذر المستخدمين من تعدين العملات المشفرة. لكن ما حدث خلال الأسابيع القليلة الماضية مع Coinhive غريب بشكل لا يمكن تفسيره ".
ليس من الواضح بعد ما يجب فعله مع عمال المناجم المشفرة ، وكيفية التعامل معهم. ترى بعض مضادات الفيروسات (معظمها) أي عامل منجم تشفير على أنه برامج ضارة. آخرون - لا تهتم بمثل هذه البرامج.