Na serwery w Korei Północnej mogą być przesyłane nieświadomie wykopane tokeny Monero. Z takiego założenia wychodzi zespół badawczy AlienVault po znalezieniu wirusa instalującego oprogramowanie do kopania kryptowaluty Monero. Wykopana w ten sposób kryptowaluta jest następnie przesyłana do Korei Północnej na serwer powiązany z Uniwersytetem Kim Ir Sena w Pjongjang.
Instalator kopiuje do systemu plik o nazwie intelservice.exe. Nazwa pliku intelservice.exe jest znana z powiązania ze złośliwym oprogramowaniem (ang. malware) wykorzystywanym do kopania Monero. Bazując na argumentach wykorzystanych przy uruchamianiu instalatora, zespół badawczy stwierdził, że do kopania kryptowaluty wykorzystany został program xmrig. Program ten już niejednokrotnie był wykorzystywany do kopania Monero podczas ataków, m.in. po przejęciu poprzez błędy w oprogramowaniu kontroli nad oprogramowaniem IIS – zbioru usług internetowych dla systemów rodziny Microsoft Windows (FTP, http, etc.).
Zajrzyjmy pod maskę wirusa
Instalator aplikacji uruchamiany był wraz z następującymi argumentami:
-o barjuok.ryongnamsan.edu.kp:5615 -u 4JUdGzvrMFDWrUUwY… -p KJU” +
processorCount + ” -k -t ” + (processorCount -1)
Pierwszym argumentem jest adres serwera, na który przesłane miały zostać wykopane coiny. Domena barjuok.ryongnamsan.edu.kp kieruje do serwera znajdującego się na Uniwersytecie Kim Ir Sena.
Drugim argumentem jest adres portfela Monero (pełny adres dostępny na stronie AlienValut). Następnie przekazywane jest hasło „KJU”, które prawdopodobnie jest skrótem od Kim Jong-un (Kim Dzong Un).
Po co właściwie to wszystko?
Adres barjuok.ryongnamsan.edu.kp jest aktualnie nieosiągalny. Oznacza to, że nie można wysłać wykopanych tokenów do autorów. Przynajmniej z większości sieci.
AlienVault opisuje trzy możliwe scenariusze:
- Aplikacja została zaprojektowana tak, aby działać na komputerach podłączonych do specyficznej sieci, np. uniwersyteckiej
- Podany adres kiedyś działał
- Wykorzystanie adresu serwera z Korei Północnej było jedynie żartem mającym oszukać badaczy bezpieczeństwa
Wciąż nie wyjaśniono, czy badana aplikacja była częścią wczesnego etapu testów ataku, czy może „legalnym podpięciem” operacji wydobywania kryptowalut, z pełną świadomością właścicieli sprzętu komputerowego.
Z jednej strony przebadany instalator wyświetla zbyt oczywiste logi, których atakujący staraliby się unikać. Z drugiej strony zawierał on sztuczne nazwy plików będące najprawdopodobniej próbą uniemożliwienia detekcji instalowanego dodatkowo oprogramowania do wykopywania Monero.
Nawet jeśli autorem oprogramowania jest osoba z Uniwersytetu Kim Ir Sena, nie musi ona pochodzić z Korei Północnej. Uniwersytet ten jest niespotykanie otwarty na studentów i wykładowców z innych krajów.
XMRIG strona github: https://github.com/xmrig/xmrig
JL
„Pierwszym argumentem jest adres serwera, na który przesłane miały zostać wykopane coiny. ” czy autor kiedykolwiek kopal cokolwiek? najwyrazniej nie, skoro napisal taką bzdurę
„Pierwszym argumentem jest adres serwera, na który przesłane miały zostać wykopane coiny. ” czy autor kiedykolwiek kopal cokolwiek? najwyrazniej nie, skoro napisal taką bzdurę