na krypto
Grupa hakerów zainstalowała złośliwe oprogramowanie szyfrujące na serwerze firmy po znalezieniu luki w Salt, popularnym narzędziu infrastrukturalnym używanym przez takie firmy jak IBM, LinkedIn i eBay.
Atak na Solę
Platforma blogowa Ghost poinformowała w niedzielę, że atakującemu udało się przedostać do infrastruktury serwerów opartych na Salt i rozprowadzić wirusa wydobywającego kryptowaluty.
„Przeprowadzane przez nas dochodzenie wskazuje, że krytyczna luka w naszej infrastrukturze zarządzania serwerami została wykorzystana do próby wydobycia kryptowaluty za pośrednictwem naszych serwerów” – czytamy w raporcie z incydentu.
„Próba wydobycia zwiększyła procesory i szybko przeciążyła większość naszych systemów, co natychmiast zaalarmowało nas o problemie”. Ghost powiedział, że w poniedziałek programiści usunęli złośliwe oprogramowanie wydobywcze ze swoich serwerów i dodali nowe konfiguracje firewalli.
Obecnie w Internecie dostępnych jest ponad 6.000 odsłoniętych serwerów Salt, które mogą zostać naruszone poprzez tę lukę, jeśli nie zostaną szybko załatane. Na początku tego tygodnia wydano łatki usuwające luki w Salt. Serwery Salt powinny być zwykle instalowane za zaporą ogniową i nie powinny być narażone na dostęp do Internetu.
Android także na celowniku hakerów
Salt to platforma open source opracowana przez SaltStack, która zarządza i automatyzuje kluczowe części serwerów korporacyjnych. Klienci, w tym IBM Cloud, LinkedIn i eBay, używają Salt do konfigurowania serwerów, przekazywania wiadomości z „serwera głównego” i wysyłania poleceń o określonej godzinie.
SaltStack ostrzegł klientów kilka tygodni temu, że w najnowszej wersji występuje „krytyczna luka”, która umożliwia „zdalnemu użytkownikowi zalogowanie się bez uwierzytelnienia” i zapewnia „dowolny dostęp do katalogów Inwestorzy zalegalizowany".
SaltStack wydał także aktualizację oprogramowania, która naprawiła usterkę 23 kwietnia. Mobilny system operacyjny Android LineageOS stwierdził, że hakerzy uzyskali dostęp do jego podstawowej infrastruktury poprzez tę samą lukę, ale naruszenie zostało szybko wykryte.
Czy hakerzy osiągnęli swój cel?
W niedzielnym raporcie firma przyznała, że nie zaktualizowała oprogramowania Salt. Nie wiadomo, czy ta sama grupa stoi za atakami na LineageOS i Ghost. W niektórych atakach instalowano oprogramowanie do wydobywania kryptowalut, podczas gdy w innych hakerzy instalowali backdoory na serwerach.
Nie jest jasne, czy hakerzy wydobywali konkretną kryptowalutę. Grupy hakerskie generalnie faworyzują monero (XMR), ponieważ można je wydobywać wyłącznie przy użyciu procesorów ogólnego przeznaczenia, a nie dedykowanych chipów wydobywczych, a handel nim jest niski przy niskim ryzyku wykrycia.
Czy zauważyłeś jakieś anomalie na swoich kontach z Androidem lub smartfonach? Daj nam znać w komentarzach poniżej i przedstaw nam swój punkt widzenia w tej sprawie.
