I ricercatori di sicurezza di Palo Alto Networks dell’Unità 42 hanno scoperto una delle più grandi e durature operazioni di cryptojacking Monero conosciute per compromettere i sistemi operativi Windows e Linux. L’operazione di mining WatchDog è in corso dal 27 gennaio 2019 e ha raccolto almeno 209 Monero (XMR), del valore di circa $ 32.056 USD.
Gli attori WatchDog utilizzano malware di cryptojacking efficiente per il cloud, attraverso l’uso di binari in linguaggio Go compressi con UPX, per compromettere i sistemi operativi Windows e Linux, supponendo che tali sistemi abbiano la piattaforma Go installata.
WatchDog è composto da un set binario Go Language in tre parti e un file di script bash o PowerShell. I binari eseguono funzionalità specifiche, una delle quali emula la funzionalità del demone watchdogd di Linux assicurando che il processo di mining non si blocchi, sovraccarichi o termini in modo imprevisto. Il secondo binario Go scarica un elenco configurabile di intervalli di indirizzi IP netti prima di fornire la funzionalità delle operazioni di sfruttamento mirate dei sistemi NIX o Windows identificati scoperti durante l’operazione di scansione. Infine, il terzo script binario Go avvierà un’operazione di mining sui sistemi operativi (OS) Windows o NIX utilizzando configurazioni personalizzate dallo script bash o PowerShell avviato.
I ricercatori hanno mappato l’infrastruttura e hanno identificato 18 indirizzi IP e sette domini dannosi, che servono almeno 125 indirizzi URL dannosi utilizzati per scaricare il il toolkit di mining WatchDog. Inoltre, il binario di scansione e sfruttamento, networkmanager, è caricato con 33 exploit univoci, comprese 32 funzioni RCE.
Gli esperti hanno stabilito che almeno 476 sistemi compromessi, composti principalmente da istanze cloud Windows e NIX, eseguono operazioni di mining in qualsiasi momento da oltre due anni.
“È chiaro che gli operatori di WatchDog sono programmatori esperti e hanno goduto di una relativa mancanza di attenzione riguardo alle loro operazioni di mining. Sebbene al momento non vi sia alcuna indicazione di ulteriori attività di compromissione del cloud (ad esempio l’acquisizione di credenziali IAM della piattaforma cloud, ID di accesso o chiavi), potrebbe esserci un potenziale ulteriore compromissione dell’account cloud. È molto probabile che questi attori possano trovare informazioni relative a IAM sui sistemi cloud che hanno già compromesso, a causa dell’accesso root e amministrativo acquisito durante l’impianto del loro software di cryptojacking”, comunicano gli esperti di Palo Alto.