Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Криптомайнинговый ботнет изменяет конфигурации ЦП для увеличения мощности майнинга

15/08/21

hack9-Aug-15-2021-01-28-06-77-PMИсследователи в области кибербезопасности из компании Uptycs сообщили о вредоносной кампании, в ходе которой хакеры используют червь, написанный на языке Golang, для установки криптомайнера на устройства жертв. Криптомайнер изменяет конфигурации ЦП на взломанных Linux-серверах с целью повысить эффективность и производительность своего кода для майнинга криптовалюты.

Как сообщили эксперты, это первый случай, когда злоумышленники изменяют моделезависимые регистры (Model-Specific Registers, MSR) процессора для отключения функции Hardware Prefetcher ЦП.

Аппаратная предварительная выборка, включенная по умолчанию на большинстве процессоров, позволяет процессору загружать в кэш-память данные на основе операций, которые могут потребоваться в ближайшем будущем. Когда ЦП выполняет повторяющиеся вычисления, аппаратная предварительная выборка может помочь повысить производительность. MSR представляют собой набор регистров управления, доступных на процессорах x86, которые можно использовать для управления различными функциями, включая включение и отключение аппаратной предварительной выборки.

По словам специалистов, ботнет для майнинга криптовалюты нарушал работу Linux-серверов, загружал драйвер MSR для Linux, а затем отключал предварительную выборку оборудования перед установкой майнера XMRig. В Uptycs предполагают, что злоумышленники придумали отключить аппаратную предварительную выборку после прочтения документации XMRig, в которой говорится об увеличении скорости работы приложения на 15%, если функция Hardware Prefetcher отключена.

Операторы ботнета в ходе атак эксплуатировали уязвимости CVE-2020-14882 и CVE-2017-11610 для получения доступа к системам под управлением Linux, на которых запущен Oracle WebLogic или Supervisord.

По словам Uptycs, тот же ботнет был активен по крайней мере с декабря 2020 года и использовался для атак на серверы с запущенным MySQL, Tomcat, Oracle WebLogic или Jenkins.

Темы:майнингПреступленияботнетХакерские атаки
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...