ADVERTISEMENT

Monero Mining Malware infiziert Supercomputer in Europa

  • Durch die Nutzung von bösartiger Malware wurde auf mehreren Supercomputern in Europa die Kryptowährung Monero geschürft.
  • Potenzielle Angreifer haben Monero-Proxy-Hosts mit einer Konfiguration verwendet, die eine Erkennung verhindert.

Laut neuesten Berichten verschiedener europäischer Institutionen gab es in den letzten Tagen Vorfälle im Zusammenhang mit dem illegalen Mining der Kryptowährung Monero unter Verwendung von Malware zur Infizierung von Supercomputern. Die Vorfälle ereigneten sich in verschiedenen europäischen Ländern. Zu den betroffenen Ländern gehören das Vereinigte Königreich, Deutschland, die Schweiz und Spanien. Ähnlichkeiten zwischen den Vorfällen lassen die Forscher darauf schließen, dass alle Angriffe auf eine einzige Gruppe oder Einheit zurückzuführen sein könnten. Es gibt jedoch keine endgültigen Beweise dafür.

Illegales Monero-Mining im großen Stil

Der jüngste Bericht, der sich näher mit dem Vorfall und der Monero-Mining-Malware beschäftigte, wurde vom britischen National Supercomputing Service, ARCHER, veröffentlicht. Der am 11. Mai veröffentlichte Bericht kündigt die Deaktivierung des Zugriffs auf das ARCHER-System in Folge des illegalen Minings an. Die Deaktivierung war ursprünglich auf die Ausnutzung einer Schwachstelle in den Anmeldeknoten von ARCHER zurückzuführen, wie der Bericht feststellt.

Bei späteren Erhebungen und nach eingehender Untersuchung kommt der Bericht zu dem Schluss kommen, dass das Problem mit einer Reihe von Vorfällen zusammenhing, die die Systeme mehrerer europäischer Institutionen betrafen. Ein Bericht von bwHPC Deutschland offenbarte am 11. Mai ebenfalls, dass es die folgenden High Performance Computing (HPC)-Systeme deaktivieren wird: bwUniCluster 2.0, ForHLR II, bwForCluster JUSTUS, bwForCluster BinAC und Hawk.

Ein weiterer Bericht vom Nationalen Supercomputing Center in Zürich bestätigte die ursprüngliche Theorie der Forscher. Der Bericht, der Tage später, am 16. Mai, veröffentlicht wurde, besagt, dass verschiedene akademische Datenzentren und HPC-Systeme auf der ganzen Welt „Cyber-Angriffe bekämpften und deshalb zahlreiche Systeme deaktiviert werden mussten“. Wie in früheren Berichten wird auch in diesem letzten Bericht das Monero-Mining nicht explizit erwähnt.

Der Mitbegründer von Cado Security, Chris Doman, veröffentlichte jedoch die Ergebnisse der Untersuchungen seiner Firma zu den Vorfällen. Cado Security behauptet, dass die Vorfälle miteinander in Zusammenhang stehen, da sie sich alle auf eine Datei mit demselben Namen, „fonts“, beziehen. Diese Datei wird in Verbindung mit einer anderen Datei namens „low“, die zur Bereinigung der Protokolle und zum Verbergen von Hinweisen auf die Angriffe verwendet wird, als Ladeprogramm verwendet. Im Bericht von Cado heißt es:

(los atacantes) Sie verwenden vielleicht eine oder mehrere Methoden für die Privilegieneskalation, möglicherweise CVE-2019-15666. Im Moment ist die nationale britische Einrichtung ARCHER offline, da sie einen grundlegenden Exploit erlitten hat.

Die Akteure kommen von den folgenden IP-Adressen, 202.120.32.231 und 159.226.161.107, Sie erhalten keine Vermutungen, aus welchem Land diese stammen.

Dieselben IP-Adressen wurden als Teil anderer Vorfälle an den Shanghaier Jiaotong-Universitäten und im chinesischen Wissenschafts- und Technologienetz aufgezeichnet. Cado konnte auch feststellen, dass die „Uploaded“- und „Cleaner“-Dateien aus den genannten europäischen Ländern auf VirutsTotal hochgeladen wurden.

In ähnlicher Weise heißt es in einem separaten Bericht des European Computer Security Response Team, dass Angreifer kompromittierte SSH-Zugangsdaten verwenden, um zwischen verschiedenen Opfern hin- und herzuspringen. Die Angreifer wandeln dann die CPU, die sie mit der Malware infizieren, in eine der verschiedenen unten aufgeführten Rollen um:

XMR-Mining-Hosts (mit einer versteckten XMR-Binärdatei)

XMR-Proxy-Hosts ; Der Angreifer benutzt diese Hosts von den XMR-Mining-Hosts, um sich mit anderen XMR-Proxy-Hosts und schließlich mit dem eigentlichen Mining-Server zu verbinden.

SOCKS-Proxy-Hosts (die eine microSOCKS-Instanz auf einem hohen Port ausführen) ; Der Angreifer verbindet sich mit diesen Hosts über SSH, oft von Tor aus. MicroSOCKS wird auch von Tor aus benutzt.

Tunnel-Hosts (SSH-Tunneling) ; Der Angreifer verbindet sich über SSH (kompromittiertes Konto) und konfiguriert NAT PREROUTING (normalerweise für den Zugriff auf private IP-Räume).

httpss://twitter.com/chrisdoman/status/1261662464107843584

Zum Redaktionszeitpunkt steht XMR bei 66,24 USD und verzeichnet ein Plus 1 % in den letzten 24 Stunden und folgt damit der allgemeinen Marktstimmung am Kryptomarkt. 

About Author

Reynaldo

Reynaldo Marquez has closely followed the growth of Bitcoin and blockchain technology since 2016. He has since worked as a columnist on crypto coins covering advances, falls and rises in the market, bifurcations and developments. He believes that crypto coins and blockchain technology will have a great positive impact on people's lives.

Die Kommentare sind geschlossen.