Unbekannte Angreifer haben einen Weg gefunden, die beliebte Torrent-Anwendung rTorrent für das Cryptocurrency Mining zu verwenden. Die Anwendung selbst wird auf Unix-ähnlichen Systemen verwendet, die im Prinzip als wesentlich sicherer in Bezug auf Hacking gelten als Windows.
Mit der gebotenen Sorgfalt kann jedoch auch unter Unix eine Sicherheitslücke gefunden werden. Der Benutzer des Systems, der selbst zulässt, dass die Malware ihre Aufgaben ausführt, ist zu 99% schuld. Dies ist im aktuellen Fall geschehen.
Vor nicht allzu langer Zeit sprach der Cybersicherheitsforscher Tevis Ormandy von Google Project Zero über Schwachstellen in den beliebten Bittorent-Anwendungen - uTorrent und Transmission. Der Forscher führte einen erfolgreichen Proof-of-Concept-Angriff durch, der auf einer Sicherheitsanfälligkeit in der JSON-RPC-Schnittstelle beruhte. Es wird verwendet, um sicherzustellen, dass der Benutzer die Malware herunterlädt, ohne es zu wissen.
Ähnliches gilt für rTorrent. Nur hier nutzen Angreifer die rTorrent XML-RPC-Schnittstelle, die HTTP und XML verwendet, um Eingaben von Remote-Systemen zu erhalten. Gleichzeitig benötigt rTorrent keine Authentifizierung, damit die Schnittstelle funktioniert. Noch schlimmer ist, dass Angreifer bei Bedarf Befehle in der Befehlszeile des Betriebssystems ausführen können, in dem rTorrent funktioniert.
Angreifer durchsuchen das Internet nach Computern, die rTorrent und seine Anwendungen verwenden, und nutzen dann eine Sicherheitsanfälligkeit aus, um Software zu installieren, die Monero Miner installiert. Dies ist eine Kryptowährung, die als vollständig anonym betrachtet wird. Es ist bei allen Arten von Cyberkriminellen beliebt (die Kryptowährung selbst ist vollständig "weiß", es ist nur ein Werkzeug), da die Verfolgung von Transaktionen, wenn überhaupt möglich, sehr schwierig ist.
Zu dem Zeitpunkt, als die Informationen über den neuen Bergmann im Netzwerk erschienen, gelang es den Angreifern, bereits etwa 4.000 Dollar in Dollar abzubauen. An einem Tag schürfen Angreifer Kryptowährungen um etwa 43 US-Dollar.
Das Problem in diesem Fall ist, dass der Benutzer bei rTorrent keine Maßnahmen ergreifen muss, um die von den Angreifern benötigten Vorgänge auszuführen. Deshalb ist der Torrent-Client noch gefährlicher als seine "Kollegen" uTorrent und Transmission. Letzteres kann nur infiziert werden, wenn der Benutzer schädliche Websites mit spezieller Software besucht.
Nun, im Fall von rTorrent ist alles einfacher - der Client besucht alles, was er braucht, und versteckt seine Aktionen vor dem Benutzer. Es sei daran erinnert, dass der Entwickler von rTorrent Benutzern nicht empfiehlt, die RPC-Funktionalität des Clients für TCP-Ports zu verwenden. Soweit Sie verstehen, ist die XML-RPC-Schnittstelle standardmäßig nicht aktiviert. Benutzer tun dies daher selbst und finden es praktisch genug.
Die mit rTorrent heruntergeladene Malware lädt nicht nur den Miner herunter (diese Software, die harmlos erscheint, verbraucht die Computerressourcen des Benutzers). Es durchsucht das System auch nach "Konkurrenten". Wenn sie gefunden werden, versucht die Anwendung, sie zu löschen, damit alle Ressourcen an dieses Programm gehen. Derzeit werden nur 3 von 59 mehr oder weniger verbreiteten Antivirenprogrammen erkannt. Wahrscheinlich wird ihre Zahl bald zunehmen.
Der Entwickler rTorrent behauptet, dass er den Patch derzeit nicht veröffentlichen kann, da er nicht vollständig versteht, dass er die Malware verwendet, um das Programm zu infizieren. Wenn eine Sicherheitsanfälligkeit entdeckt wird, wird der Patch sofort veröffentlicht. Laut Entwickler betrifft die Malware nur Versionen von rTorrent, die von Benutzern geändert wurden. Das Programm verfügt über viele dokumentierte und nicht sehr umfassende Funktionen, die vollständig genutzt werden, und der Entwickler kann nicht alle möglichen Kombinationen und Betriebsmodi überprüfen.
Bisher wird Benutzern, die rTorrent verwenden, empfohlen, ihre Systeme auf Viren zu überprüfen. Derzeit ist Coinhive der beliebteste Crypto Miner. Die Entwickler waren nach eigenen Worten unangenehm überrascht von der Beliebtheit ihres Projekts bei Angreifern. "Wir waren erstaunt über die schnelle Verbreitung des Codes",
sagt ein Teammitglied. „Während der Arbeit an dem Projekt waren wir ziemlich naiv, weil wir nicht dachten, dass der Bergmann von Cyberkriminellen benutzt werden würde. Wir wollten, dass unsere Eigentümer unseren Code verwenden, ihn offen verwenden und Benutzer vor Cryptocurrency Mining warnen. Aber was in den letzten Wochen mit Coinhive passiert ist, ist unbeschreiblich seltsam. “
Es ist noch nicht klar, was mit Crypto Miner zu tun ist und wie mit ihnen umzugehen ist. Einige Antivirenprogramme (die meisten von ihnen) betrachten jeden Crypto Miner als Malware. Andere - interessieren sich nicht für solche Programme.