Die Cybersecurity-Firma Trend Micro hat die Kampagne in der vergangenen Woche entdeckt und ermittelt, dass die meisten Eindringversuche in Japan, Taiwan, China, den USA und Indien stattfanden. Es sind allerdings auch Server in zahlreichen anderen Ländern betroffen. Die Angriffe starteten im Dezember letzten Jahres, die meisten Rechner wurden zwischen Januar und Februar befallen.
Linux-Server von Cryptojacking betroffen
Bei Cacti handelt es sich um eine Webanwendung zur Überwachung lokaler Netzwerke, Network Weathermap ist ein entsprechendes Visualisierungs-Tool. Über eine Schwachstelle im Plugin schleusen die Hacker eine modifizierte Version des Open Source Miners XMRig ein, der dann unbemerkt beginnt, Monero zu minen. XMRig läuft auf 32- und 64-bit-Rechnern mit Linux oder Windows. Die Angreifer können für ihren Schürfprozess sogar die CPU-Nutzung des fremden PCs regeln.
Trend Micro konnte die Spur der Monero zu zwei Wallets zurückverfolgen. Bis zum 21. März hatten die Angreifer ungefähr 320 XMR erbeutet, was zu dieser Zeit circa 75.000 US-Dollar entsprach.
Patch schon lange erhältlich
Die Schwachstelle existiert in Servern, auf denen Cacti und das Network Weathermap Plugin in der Version 0.97a oder älter installiert sind. Diese Tools laufen auch auf Windows-Systemen, werden allerdings meistens auf Linux genutzt. Updates auf neuere Versionen sind schon lange erhältlich. Gleichzeitig müssen die entsprechenden Server für eine erfolgreiche Attacke mit root-Berechtigung laufen. Trend Micro warnt eindrücklich davor, Netzwerkdaten öffentlich zugänglich zu lassen, da dies Hackern Tür und Tor öffnet.
Cryptojacking-Kampagnen wie diese nehmen rasant zu, seit letztem Jahr sind sie der häufigste Grund für Cyberattacken überhaupt. Erst kürzlich wurde bekannt, dass der Trojaner Dofoil über 400.000 Windows-PCs infiziert hat, um dort unbemerkt die Kryptowährung Electroneum zu minen.
BTC-ECHO