برمجيات تعدين العملات المشفرة تهدد خوادم لينكس

كشف باحثون في الأمن السيبراني عن شبكة بوتنت ذاتية الانتشار تُعرف باسم “Outlaw” (أو “Dota”)، والتي تستهدف خوادم SSH ذات كلمات مرور ضعيفة.

ما هي مجموعة Outlaw؟

وفقًا لتحليل جديد صادر عن Elastic Security Labs، فإن Outlaw هو برنامج خبيث يعمل على نظام لينكس ويعتمد على:

• هجمات القوة الغاشمة على SSH
• تعدين العملات المشفرة
• الانتشار الذاتي مثل الديدان

كما أن “Outlaw” هو اسم المجموعة الخبيثة وراء هذا البرنامج الضار، والتي يُعتقد أنها من أصل روماني. ومن بين المجموعات الأخرى المهيمنة على مشهد تعدين العملات المشفرة:

• 8220
• Keksec (المعروفة أيضًا باسم Kek Security)
• Kinsing
• TeamTNT

كيف تعمل الهجمات؟

تعمل هذه المجموعة منذ أواخر 2018، حيث تقوم بـ:

1. اختراق خوادم SSH عبر هجمات القوة الغاشمة.
2. إضافة مفاتيح SSH خاصة بها  لضمان استمرارية الوصول.
3. تنفيذ عملية إصابة متعددة المراحل تشمل:
   • تحميل سكريبت نصي  لتنزيل ملف مضغوط .
   • تفعيل برنامج التعدين مع حذف أي آثار لعمليات اختراق سابقة.
   • إيقاف عمليات التعدين المنافسة أو القديمة الخاصة بها.

ميزات البرمجيات الخبيثة

• نظام الانتشار الذاتي (BLITZ):
  • يبحث عن أنظمة ضعيفة تعمل بخدمة SSH.
  • يحصل على قائمة أهداف من خادم تحكم (C2) لمواصلة الهجمات.
• استغلال الثغرات الأمنية:
  • تستهدف بعض الهجمات أنظمة لينكس ويونكس المعرضة لثغرات مثل:
    • CVE-2016-8655
    • CVE-2016-5195 (المعروفة باسم Dirty COW)
  • كما تهاجم أنظمة Telnet ذات كلمات مرور ضعيفة.
• استخدام SHELLBOT للتحكم عن بُعد:
  • يتيح تنفيذ أوامر نصية عشوائية.
  • يقوم بتنزيل وتشغيل حمولات إضافية.
  • يشن هجمات حجب الخدمة (DDoS).
  • يسرق بيانات الاعتماد والمعلومات الحساسة.

تحسين أداء التعدين

• يحدد البرنامج الضار نوع المعالج في النظام المصاب.
• يفعل وظيفة HugePages لجميع نوى المعالج لزيادة كفاءة الوصول إلى الذاكرة.
• يستخدم ملفًا ثنائيًا  لضمان اتصال دائم مع بنية المجموعة الخبيثة.