Cryptojacking: Monero-Miner knacken Linux

Eine Cryptojacking-Kampagne befällt derzeit öffentliche Linux-Server weltweit. Dabei wird eine Sicherheitslücke ausgenutzt, die bereits seit fünf Jahren bekannt und behebbar ist. Sie ist unter der Bezeichnung CVE-2013-2618 gelistet und betrifft Systeme, die das Network Weathermap Plugin für Cacti nutzen. Die Schwachstelle in einem Plugin konnte bereits XMR im Wert von 75.000 US-Dollar erzeugen.

Roman Maas
Teilen

Die Cybersecurity-Firma Trend Micro hat die Kampagne in der vergangenen Woche entdeckt und ermittelt, dass die meisten Eindringversuche in Japan, Taiwan, China, den USA und Indien stattfanden. Es sind allerdings auch Server in zahlreichen anderen Ländern betroffen. Die Angriffe starteten im Dezember letzten Jahres, die meisten Rechner wurden zwischen Januar und Februar befallen.

Linux-Server von Cryptojacking betroffen

Bei Cacti handelt es sich um eine Webanwendung zur Überwachung lokaler Netzwerke, Network Weathermap ist ein entsprechendes Visualisierungs-Tool. Über eine Schwachstelle im Plugin schleusen die Hacker eine modifizierte Version des Open Source Miners XMRig ein, der dann unbemerkt beginnt, Monero zu minen. XMRig läuft auf 32- und 64-bit-Rechnern mit Linux oder Windows. Die Angreifer können für ihren Schürfprozess sogar die CPU-Nutzung des fremden PCs regeln.

Trend Micro konnte die Spur der Monero zu zwei Wallets zurückverfolgen. Bis zum 21. März hatten die Angreifer ungefähr 320 XMR erbeutet, was zu dieser Zeit circa 75.000 US-Dollar entsprach.

Patch schon lange erhältlich

Die Schwachstelle existiert in Servern, auf denen Cacti und das Network Weathermap Plugin in der Version 0.97a oder älter installiert sind. Diese Tools laufen auch auf Windows-Systemen, werden allerdings meistens auf Linux genutzt. Updates auf neuere Versionen sind schon lange erhältlich. Gleichzeitig müssen die entsprechenden Server für eine erfolgreiche Attacke mit root-Berechtigung laufen. Trend Micro warnt eindrücklich davor, Netzwerkdaten öffentlich zugänglich zu lassen, da dies Hackern Tür und Tor öffnet.

Cryptojacking-Kampagnen wie diese nehmen rasant zu, seit letztem Jahr sind sie der häufigste Grund für Cyberattacken überhaupt. Erst kürzlich wurde bekannt, dass der Trojaner Dofoil über 400.000 Windows-PCs infiziert hat, um dort unbemerkt die Kryptowährung Electroneum zu minen.

BTC-ECHO

Polkadot (DOT) kaufen – Leitfaden & Anbieter 2024
In unserem kostenlosen BTC-ECHO Leitfaden zeigen wir dir, wie du sicher und Schritt für Schritt in Polkadot (DOT) investieren kannst. Außerdem erklären wir, worauf du beim Kauf von Kryptowährungen achten solltest.
Jetzt zum Polkadot (DOT) kaufen Leitfaden