זוהה מקור איראני להתקפות MrbMiner כנגד שרתים של בסיסי נתונים
מאת:
מערכת Telecom News, 28.1.21, 14:02
MrbMiner הוא כורה מטבעות קרפטוגרפיים, שנחשף לאחרונה, ושתוקף שרתים של בסיסי נתונים המחוברים לאינטרנט (SQL Server), בהם הוא מתקין כורה מטבעות. אין לזלזל ב-cryptojacking.
סופוס, שעוסקת באבטחת מידע של הדור הבא, פרסמה דו"ח אודות מתקפת
MrbMiner. הדו"ח, בשם "
MrbMiner: Cryptojacking to bypass international sanctions", עוקב אחר מקור ההתקפות ומוביל לחברת פיתוח תוכנה קטנה באיראן.
MrbMiner הוא כורה מטבעות קרפטוגרפיים, שנחשף לאחרונה, ושתוקף שרתים של בסיסי נתונים המחוברים לאינטרנט (
SQL Server), בהם הוא מתקין כורה מטבעות. שרתים של בסיסי נתונים הם מטרות מושכות עבור כורים, מכיוון שהם משמשים לצורך פעילות עתירת משאבים, ולכן יש להם יכולת עיבוד גבוהה.
SophosLabs מצאה, שהתוקפים השתמשו במספר אפיקים כדי להתקין את תוכנת הכריה הזדונית על גבי שרת היעד. המטען הזדוני לכריית מטבעות בו השתמשו וקבצי ההגדרות נארזו בקבצי ארכיב מסוג
ZIP בעלי שמות מטעים.
השם של חברת תוכנה איראנית קודד בקובץ ההגדרות הראשי של תוכנת הכרייה. הדומיין הזה מחובר לקבצי
ZIP רבים אחרים המכילים עותקים של תוכנת הכרייה. קבצי
ZIP אלה הורדו אל השרתים מדומיינים אחרים, שאחד מהם הוא
mrbftp.xyz.
גבור סזפנוס, מנהל אבטחת איומים,
SophosLabs: "בדרכים רבות, הפעילות של
MrbMiner נראית טיפוסית לרוב התקפות הכריה, שראינו כנגד שרתים המחוברים לרשת. אבל כאן נראה, שהתוקף הסיר כל מעטה של זהירות בכל הנוגע להסתרת הזהות שלו. רבות מהרשומות הקשורות להגדרות תוכנת הכרייה, כולל הדומיינים וכתובת ה-
IP, מובילות למקור בודד: חברת תוכנה קטנה המבוססת באיראן.
בעידן של מתקפות כופר בהיקפים של מיליוני דולרים, שמפילות ארגונים שלמים לברכיים, קל לבטל את ה-
cryptojacking כמטרד, ולא לראות בו איום רציני. אבל זו תהיה טעות.
Cryptojacking הוא איום שקט ובלתי נראה, שקל להטמיעו וקשה מאוד לזהותו.
יותר מכך, ברגע שמערכת נפגעה, היא מהווה שער פתוח לאיומים אחרים, כגון תוכנות כופר. לכן, חשוב לעצור
cyptojacking במקום. חפשו אחר סימנים כגון ירידה במהירות וביצועי המחשב, שימוש גובר בחשמל, חימום יתר של מכשירים ושימוש גובר ב-
CPU".