گروهی نفوذگر با رخنه به سرورهای Jenkins و نصب یک ابزار استخراج کننده پول دیجیتال مونرو، بیش از سه میلیون دلار به جیب زدهاند.
نرمافزار متن آزاد Jenkins که به زبان Java نوشته شده، با معماری سرور – کلاینتی خود در فرآیند برنامهنویسی و توسعه برنامههای کامپیوتری توسط بسیاری از برنامهنویسان مستقل و حتی شرکتهای بزرگ سازنده نرمافزار مورد استفاده قرار میگیرد.
به گزارش شرکت مهندسی شبکه گستر، بر طبق اعلام شرکت CheckPoint در جریان این حملات، این هکرها با بهرهجویی از آسیبپذیری CVE-2017-1000353 در نرمافزار Jenkins، فایلی با عنوان minerxmr.exe را از اینترنت دریافت کرده و سپس آن را از راه دور و بدون دخالت کاربر بر سرورهای میزبان این نرمافزار نصب میکنند.
وظیفه این فایل استخراج پول دیجیتال مونرو بر روی دستگاه است.
در پولهای دیجیتال، فرآیندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظیفه آن تایید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرآیند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه واحد دیجیتال – در اینجا مونرو – نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد.
با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. اما برنامههای ناخواسته موسوم به Cryptocurrency Miner با بهرهگیری از توان پردازشی دستگاههای آلوده به خود از آنها بهمنظور سودرسانی به نویسنده یا نویسندگان برنامه سوءاستفاده میکنند.
نشانی IP سروری که فایل مذکور از آن دریافت میشود مربوط به دامنه نشانیهای اختصاص داده شده به یکی از شهرهای کشور چین است. مشخص نیست که این سرور متعلق به مهاجمان است و یا سرور مُجازی است که به تسخیر این افراد در آمده است.
بررسیهای انجام شده نشان میدهد که مهاجمان این حملات ماههاست که فعال هستند و با بهرهگیری از منابع پردازشی سرورهای نسخه آسیبپذیر Jenkins، تا کنون بیش از 10800 مونرو – معادل بیش از 3.4 میلیون دلار – درآمد داشتهاند.
به نظر میرسد که سرورهای با سیستم عامل Windows که نسخه آسیبپذیر Jenkins بر روی آنها نصب است اهداف اصلی این مهاجمان هستند.
مشروح گزارش شرکت CheckPoint در اینجا قابل دریافت و مطالعه است.