D'après un rapport de chercheurs de la société de sécurité cloud Wiz, des pirates informatiques attaquent désormais des systèmes pour mener des activités de minage de cryptomonnaies. Les chercheurs indiquent que les pirates exploitent les interfaces JDWP (Java Debug Wire Protocol) exposées afin d'obtenir la possibilité d'exécuter du code sur les systèmes compromis.
D'après le rapport , après avoir obtenu la capacité d'exécuter du code, les pirates ont déployé des mineurs de cryptomonnaie sur les systèmes de leurs hôtes compromis. « L'attaquant a utilisé une version modifiée de XMRig avec une configuration codée en dur, ce qui lui a permis d'éviter les arguments de ligne de commande suspects souvent détectés par les systèmes de défense », ont indiqué les chercheurs. Ils ont ajouté que la charge utile utilisait des proxys de pools de minage pour dissimuler le portefeuille de cryptomonnaie de l'attaquant, empêchant ainsi les enquêteurs de trac son investigation.
Des pirates informatiques utilisent JDWP vulnérable comme une arme pour mener des activités de minage
Les chercheurs ont observé l'activité sur leurs serveurs honeypot exécutant TeamCity, un outil d'intégration et de déploiement continus (CI/CD) répandu. JDWP est un protocole de communication utilisé en Java pour le débogage. Grâce à ce protocole, le débogueur peut travailler sur différents processus, qu'il s'agisse d'une application Java sur le même ordinateur ou d'un ordinateur distant.
Cependant, l'absence de mécanisme de contrôle d'accès pour JDWP rend son exposition sur Internet vulnérable aux attaques. Les pirates peuvent ainsi exploiter cette faille pour prendre le contrôle total du processus Java en cours d'exécution. En d'autres termes, une configuration erronée permet d'injecter et d'exécuter des commandes arbitraires afin d'assurer la persistance du système et, in fine, d'exécuter des charges utiles malveillantes.
« Bien que JDWP ne soit pas activé par défaut dans la plupart des applications Java, il est couramment utilisé dans les environnements de développement et de débogage », ont indiqué les chercheurs. « De nombreuses applications populaires lancentmaticun serveur JDWP lorsqu'elles sont exécutées en mode débogage, souvent sans que le développeur ne soit conscient des risques. Un manque de sécurité ou une exposition insuffisante peuvent ouvrir la voie à des vulnérabilités d'exécution de code à distance (RCE). »
Parmi les applications susceptibles de lancer un serveur JDWP en mode débogage figurent TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins, et d'autres. Selon les données de GreyNoise, plus de 2 600 adresses IP ont été analysées à la recherche de points de terminaison JDWP au cours des dernières 24 heures. Parmi celles-ci, 1 500 sont malveillantes et 1 100 sont considérées comme suspectes. Le rapport indique que la plupart de ces adresses IP proviennent de Hong Kong, d'Allemagne, des États-Unis, de Singapour et de Chine.
Les chercheurs détaillent comment les attaques sont menées
Dans les attaques observées par les chercheurs, les pirates exploitent le fait que la machine virtuelle Java (JVM) écoute les connexions de débogage sur le port 5005 pour lancer une analyse des ports JDWP ouverts sur Internet. Ensuite, une requête JDWP-Handshake est envoyée pour confirmer l'activité de l'interface. Une fois la disponibilité et l'interactivité du service confirmées, les pirates exécutent une commande de récupération, lançant ainsi un script shell d'installation qui est censé réaliser une série d'actions.
Cette série d'actions comprend la suppression de tous les mineurs concurrents ou de tout processus à forte consommation de CPU sur le système, le dépôt d'une version modifiée du mineur pour l'architecture système appropriée depuis un serveur externe (« awarmcorner[.]world ») dans « ~/.config/logrotate »), l'établissement de la persistance en configurant des tâches cron pour garantir que la charge utile est récupérée et réexécutée après chaque connexion shell, redémarrage ou intervalle de temps programmé, et se supprime elle-même à la sortie.
« Étant donné que XMRig est un logiciel libre, il offre aux attaquants la possibilité de le personnaliser facilement. Dans ce cas précis, cela a consisté à supprimer toute la logique d'analyse de la ligne de commande et à coder en dur la configuration », ont expliqué les chercheurs. « Cette modification simplifie non seulement le déploiement, mais permet également à la charge utile d'imiter le processus logrotate original de manière plus convaincante. »
Cette révélation intervient alors que NSFOCUS a constaté qu'un nouveau logiciel malveillant basé sur Go et en constante évolution, nommé Hpingbot, qui cible les Windows et Linux, peut lancer une attaque par déni de service distribué (DDoS) en utilisant hping3.
