Des attaquants inconnus ont trouvé un moyen d'utiliser la populaire application torrent rTorrent pour l'extraction de crypto-monnaie. L'application elle-même est utilisée sur des systèmes de type Unix, qui, en principe, sont considérés comme beaucoup plus sûrs en termes de piratage que Windows.
Cependant, avec une diligence raisonnable, une vulnérabilité peut également être trouvée sur Unix. Certes, l'utilisateur du système, qui autorise lui-même le malware à effectuer ses tâches, est à blâmer pour 99%. C'est ce qui s'est produit dans le cas présent.
Il n'y a pas si longtemps, le chercheur en cybersécurité Tevis Ormandy de Google Project Zero a parlé des vulnérabilités des applications Bittorent populaires - uTorrent et Transmission. Le chercheur a mené une attaque réussie de preuve de concept, basée sur une vulnérabilité de l'interface JSON-RPC. Il est utilisé pour s'assurer que l'utilisateur, sans le savoir, télécharge le malware.
Quelque chose de
similaire est pertinent dans le cas de rTorrent, seulement ici les attaquants exploitent l'interface rTorrent XML-RPC, qui utilise HTTP et XML pour obtenir des entrées de systèmes distants. Dans le même temps, rTorrent ne nécessite aucune authentification pour que l'interface fonctionne. Pire encore, si nécessaire, les attaquants peuvent exécuter des commandes sur la ligne de commande du système d'exploitation où rTorrent fonctionne.
Les attaquants analysent Internet pour trouver des ordinateurs qui utilisent rTorrent et ses applications, puis exploitent une vulnérabilité pour installer un logiciel que les mineurs de Monero. Il s'agit d'une crypto-monnaie considérée comme complètement anonyme. Il est populaire parmi toutes sortes de cybercriminels (la crypto-monnaie elle-même est complètement "blanche", c'est juste un outil), car le suivi des transactions est très difficile, si possible.
Au moment où les informations sur le nouveau mineur sont apparues sur le réseau, les attaquants ont réussi à extraire déjà environ 4 000 $ en dollars. Un jour, les attaquants minent des crypto-monnaies d'environ 43 $.
Le problème dans ce cas est que rTorrent ne nécessite aucune action de la part de l'utilisateur pour effectuer les opérations dont les attaquants ont besoin. C'est pourquoi le client torrent est encore plus dangereux que ses "collègues" uTorrent et Transmission. Ces derniers ne peuvent être infectés que si l'utilisateur visite des sites malveillants avec des logiciels spécialisés.
Eh bien, dans le cas de rTorrent, tout est plus simple - le client lui-même visite tout ce qui est nécessaire, cachant ses actions à l'utilisateur. Il convient de rappeler que le développeur de rTorrent ne recommande pas aux utilisateurs d'utiliser la fonctionnalité RPC du client pour les ports TCP. Pour autant que vous puissiez comprendre, l'interface XML-RPC n'est pas activée par défaut, donc les utilisateurs le font eux-mêmes, le trouvant assez pratique.
Le malware téléchargé avec rTorrent télécharge non seulement le mineur (ce logiciel, qui semble inoffensif, consomme les ressources informatiques de l'utilisateur). Il analyse également le système pour la présence de «concurrents». S'ils se trouvent, l'application essaie de les supprimer pour que toutes les ressources soient affectées à ce programme. Pour le moment, il ne détecte que 3 antivirus sur 59 plus ou moins courants. Bientôt, leur nombre augmentera probablement.
Le développeur rTorrent affirme qu'il ne peut pas publier le patch pour le moment, car il ne comprend pas complètement qu'il utilise le malware pour infecter le programme. Si une vulnérabilité est découverte, le correctif sera publié immédiatement. Selon le développeur, le malware n'affecte que les versions de rTorrent modifiées par les utilisateurs. Le programme a beaucoup de fonctionnalités documentées et pas très utilisées, et le développeur n'est pas en mesure de vérifier toutes les combinaisons et modes de fonctionnement possibles.
Jusqu'à présent, les utilisateurs qui utilisent rTorrent sont invités à vérifier leurs systèmes pour les virus. À l'heure actuelle, le mineur de crypto le plus populaire est Coinhive. Ses développeurs, selon leurs propres mots, ont été désagréablement surpris par la popularité de leur projet auprès des attaquants. «Nous avons été étonnés de la diffusion rapide du code»,
explique un membre de l'équipe. «En travaillant sur le projet, nous étions assez naïfs, car nous ne pensions pas que le mineur serait utilisé par des cybercriminels. Nous voulions que nos propriétaires utilisent notre code, l'utilisent ouvertement, avertissant les utilisateurs de l'extraction de crypto-monnaie. Mais ce qui s'est passé ces dernières semaines avec Coinhive est inextricablement étrange. »
On ne sait pas encore quoi faire avec les mineurs de cryptographie et comment y faire face. Certains antivirus (la plupart d'entre eux) perçoivent tout crypto-mineur comme un malware. Autres - ne se soucient pas de tels programmes.