Microsoft hat Fälle von Brute-Force-Hijacking bei Linux-basierten IoT-Geräten aufgedeckt und deren Ressourcen werden für Kryptomining genutzt.
Die als Kryptojacking bekannte Art von Angriff hat in den letzten Jahren an Bedeutung gewonnen, da sich die Aufmerksamkeit auf Kryptowährungen richtete und die Weltwirtschaft gelitten hat. Angreifer können enorme Gewinne erzielen, indem sie einfach nur anfällige Systeme angreifen.
Bei dem jüngsten Angriff, den die Analysten von Redmond beobachtet haben, handelt es sich um eine Kombination aus benutzerdefinierten und Open-Source-Tools, die auf mit dem Internet verbundene Linux-basierte Systeme sowie andere IoT-Geräte abzielen.
Cryptojacker haben es auf Linux- und IoT-Geräte abgesehen
Microsoft erklärt: „Die Bedrohungsakteure hinter dem Angriff nutzen eine Hintertür, die eine breite Palette von Tools und Komponenten wie Rootkits und einen IRC-Bot einsetzt, um Geräteressourcen für Mining-Operationen zu stehlen.“
Der Zugriff erfolgt zunächst durch brutales Erzwingen verschiedener Anmeldeinformationen. Anschließend wird der Shell-Verlauf deaktiviert und ein kompromittiertes OpenSSH-Archiv setzt Malware frei.
Der Angriff nutzt auch eine Hintertür, um die Konkurrenz durch andere Krypto-Mining-Tools auszuschalten, einschließlich derer, die von rivalisierenden Krypto-Jackern heimlich eingesetzt werden, indem Geräteressourcen monopolisiert und eine Reihe von Hosts und IPs im Zusammenhang mit dem Mining blockiert werden.
Forscher haben den Angriff mit dem Benutzer „cardingforum“ in Verbindung gebracht Astereusder vermutlich hinter einer Malware-as-a-Service-Operation steckt.
Es wird angenommen, dass das Hiveon-Betriebssystem das Hauptziel des Angreifers ist, eine Linux-Distribution, die speziell für Kryptomining entwickelt wurde.
Dennoch sind andere Betriebssysteme gefährdet und Microsoft fordert potenzielle Opfer dringend auf, sicherzustellen, dass sie sichere Konfigurationen für Geräte eingerichtet haben, den Zugriff mit den geringsten Privilegien zu nutzen und Firmware und OpenSSH-Versionen nach Möglichkeit auf dem neuesten Stand zu halten.
Es ist auch daran interessiert, Produkte wie Microsoft Defender für IoT und Microsoft 365 Defender voranzutreiben, aber auch jede Kombination davon Endpunktschutzsoftware es kann in Betracht genommen werden.