أفاد تقرير صادر عن باحثين من شركة Wiz المتخصصة في أمن الحوسبة السحابية، أن المتسللين يشنّون هجمات على الأنظمة لتنفيذ عمليات تعدين العملات الرقمية. وأوضح الباحثون أن المتسللين يستغلون واجهات بروتوكول Java Debug Wire Protocol (JDWP) المكشوفة للحصول على إمكانية تنفيذ التعليمات البرمجية على الأنظمة المخترقة.
بحسب التقرير ، بعد حصول المخترقين على صلاحيات تنفيذ التعليمات البرمجية، قاموا بنشر برامج تعدين العملات الرقمية على أنظمة الأجهزة المخترقة. وأوضح الباحثون أن "المهاجم استخدم نسخة معدلة من برنامج XMRig بإعدادات مُبرمجة مسبقًا، مما مكّنه من تجنب وسائط سطر الأوامر المشبوهة التي غالبًا ما تُكتشف من قِبل أنظمة الحماية". وأضافوا أن الحمولة الخبيثة استخدمت خوادم وسيطة لمجمعات التعدين لإخفاء محفظة العملات الرقمية الخاصة بالمهاجم، مما حال دون تمكّن المحققين من trac .
يستغل المتسللون بيانات JDWP المكشوفة كسلاح لتنفيذ أنشطة تعدين العملات الرقمية
رصد الباحثون النشاط الموجه ضد خوادمهم الوهمية التي تعمل بنظام TeamCity، وهو أداة شائعة للتكامل المستمر والتسليم المستمر (CI/CD). JDWP هو بروتوكول اتصال يُستخدم في جافا لأغراض تصحيح الأخطاء. يُمكّن هذا البروتوكول مصحح الأخطاء من العمل على عمليات مختلفة، أو تطبيق جافا على نفس الحاسوب، أو على حاسوب بعيد.
مع ذلك، ونظرًا لافتقار JDWP لآلية تحكم في الوصول، فإنّ كشفه للإنترنت قد يفتح ثغرات أمنية جديدة يستغلها المخترقون كنقطة دخول للسيطرة الكاملة على عملية جافا الجارية. ببساطة، يمكن استخدام هذا الخلل في الإعدادات لحقن وتنفيذ أوامر عشوائية بهدف ترسيخ وجوده في النظام وتشغيل برامج خبيثة.
قال الباحثون: "على الرغم من أن JDWP غير مُفعّل افتراضيًا في معظم تطبيقات جافا، إلا أنه يُستخدم بكثرة في بيئات التطوير والتصحيح. وتقوم العديد من التطبيقات الشائعة بتشغيل خادم JDWPmaticعند تشغيلها في وضع التصحيح، غالبًا دون توضيح المخاطر للمطور. وإذا لم يتم تأمينه بشكل صحيح أو تُرك مكشوفًا، فقد يُؤدي ذلك إلى ثغرات أمنية تسمح بتنفيذ التعليمات البرمجية عن بُعد."
تتضمن بعض التطبيقات التي قد تُشغّل خادم JDWP في وضع التصحيح: TeamCity، وApache Tomcat، وSpring Boot، وElasticsearch، وJenkins، وغيرها. وأظهرت بيانات GreyNoise أنه تم فحص أكثر من 2600 عنوان IP بحثًا عن نقاط نهاية JDWP خلال الـ 24 ساعة الماضية، منها 1500 عنوان IP خبيث، و1100 عنوان IP مُصنّف كمشبوه. وأشار التقرير إلى أن معظم هذه العناوين مصدرها هونغ كونغ، وألمانيا، والولايات المتحدة، وسنغافورة، والصين.
يشرح الباحثون بالتفصيل كيفية تنفيذ الهجمات
في الهجمات التي رصدها الباحثون، يستغل المخترقون حقيقة أن آلة جافا الافتراضية (JVM) تستمع لاتصالات مصحح الأخطاء على المنفذ 5005 لبدء مسح منافذ JDWP المفتوحة عبر الإنترنت. بعد ذلك، يتم إرسال طلب مصافحة JDWP للتأكد من أن الواجهة نشطة. بمجرد التأكد من أن الخدمة متاحة وتفاعلية، ينتقل المخترقون إلى تنفيذ أمر جلب، مُشغِّلين بذلك برنامجًا نصيًا خبيثًا يُفترض أن يُنفِّذ سلسلة من الإجراءات.
تتضمن هذه السلسلة من الإجراءات قتل جميع عمال التعدين المنافسين أو أي عمليات ذات استهلاك عالٍ لوحدة المعالجة المركزية على النظام، وإسقاط نسخة معدلة من برنامج التعدين لبنية النظام المناسبة من خادم خارجي ("awarmcorner[.]world") إلى "~/.config/logrotate")، وإنشاء استمرارية عن طريق تعيين مهام cron لضمان إعادة جلب الحمولة وإعادة تنفيذها بعد كل تسجيل دخول إلى shell أو إعادة تشغيل أو فاصل زمني مجدول، وحذف نفسه عند الخروج.
قال الباحثون: "باعتبارها مفتوحة المصدر، توفر XMRig للمهاجمين سهولة التخصيص، والتي تضمنت في هذه الحالة إزالة جميع منطق تحليل سطر الأوامر وبرمجة التكوين بشكل مباشر. هذا التعديل لا يُسهّل عملية النشر فحسب، بل يسمح أيضًا للحمولة بمحاكاة عملية logrotate الأصلية بشكل أكثر إقناعًا."
يأتي هذا الكشف في الوقت الذي أشارت فيه NSFOCUS إلى أن برنامجًا خبيثًا جديدًا ومتطورًا قائمًا على لغة Go يُدعى Hpingbot والذي يستهدف Windows و Linux يمكنه شن هجوم حجب الخدمة الموزع (DDoS) باستخدام hping3.
