Неизвестные злоумышленники нашли способ использовать популярное торрент-приложение rTorrent в целях майнинга криптовалюты. Само приложение используется на Unix-подобных системах, которые, в принципе, считаются гораздо более безопасными с точки зрения взлома, чем Windows.
Тем не менее, при должном старании можно найти уязвимость и в Unix. Правда, в 99% виноват все же пользователь системы, который сам разрешает зловреду выполнять свои задачи. Так и произошло в текущем случае.
Не так давно исследователь по кибербезопасности Тевис Орманди из Google Project Zero рассказал об уязвимостях в популярных приложениях Bittorent — uTorrent и Transmission. Исследователь провел успешную proof of concept атаку, основанную на уязвимости в интерфейсе JSON-RPC. Она эксплуатируется для того, чтобы пользователь, сам того не зная, осуществил загрузку зловреда.
Нечто схожее актуально и в случае rTorrent, только здесь злоумышленники эксплуатируют XML-RPC интервейс rTorrent, где используется HTTP и XML для получения вводных данных с удаленных систем. При этом rTorrent не требует какой-либо аутентификации для работы интерфейса. Даже хуже, при необходимости злоумышленники могут выполнять команды в командной строке ОС, в которой работает rTorrent.
Злоумышленники сканируют интернет для поиска компьютеров, использующих rTorrent и основанные на нем приложения, а затем эксплуатируют уязвимость для установки программного обеспечения, которое майнит Monero. Это криптовалюта, которая считается полностью анонимной. Она популярна среди разного рода злоумышленников (сама криптовалюта полностью «белая», это просто инструмент), поскольку отследить транзакции очень сложно, если вообще возможно.
На момент появления в сети информации о новом майнере злоумышленникам удалось намайнить уже около $4000 в долларовом эквиваленте. В день злоумышленники майнят криптовалюты примерно на $43.
Проблема в данном случае в том, что rTorrent не требует от пользователя никаких действий для выполнения операций, которые нужны злоумышленникам. Именно поэтому торрент-клиент даже опаснее, чем его «коллеги по цеху» uTorrent и Transmission. Последние могут быть заражены лишь в том случае, если пользователь посещает зловредные сайты со специализированным ПО.
Ну а в случае rTorrent все проще — клиент сам посещает все, что нужно, скрывая от пользователя свои действия. Стоит помнить, что разработчик rTorrent не рекомендует пользователям использовать RPC-функциональность клиента для портов TCP. Насколько можно понять, интерфейс XML-RPC не включен по умолчанию, поэтому пользователи делают это самостоятельно, находя его достаточно удобным.
Зловред, который загружается при помощи rTorrent, не только загружает майнер (это ПО, кажущееся безвредным, потребляет ресурсы компьютера пользователя). Оно еще и сканирует систему на наличие «конкурентов». Если они находятся, приложение пытается их удалить, чтобы все ресурсы достались этой программе. На данный момент по обнаруживает лишь 3 антивируса из 59 более-менее распространенных. Вероятно, в скором времени их число увеличится.
Разработчик rTorrent утверждает, что на данный момент он не может выпустить патч, поскольку не до конца понимает, что именно использует зловред для заражения программы. Если уязвимость обнаружится, «заплатка» будет выпущена незамедлительно. По мнению разработчика, зловред поражает только те версии rTorrent, которые модифицируются пользователями. У программы много задокументированных и не очень возможностей, которые вовсю используются, и разработчик не в состоянии проверить все возможные комбинации и режимы работы.
Пока что пользователям, которые работают с rTorrent, рекомендуется проверить свои системы на наличие вируса. На данный момент наиболее популярным криптомайнером является Coinhive. Его разработчики, по их собственным словам, были неприятно удивлены такой популярностью их проекта среди злоумышленников. «Мы были поражены столь быстрым распространением кода», — говорит один из представителей команды. «Работая над проектом, мы были достаточно наивными, поскольку не считали, что майнер будет использоваться киберпреступниками. Мы хотели, чтобы наш код использовали владельцы сайтов, использовали открыто, предупреждая пользователей о майнинге криптовалюты. Но то, что случилось за последние несколько недель с Coinhive, невыразимо странно».
Пока что не совсем понятно, что делать с криптомайнерами, и как с ними бороться. Некоторые антивирусы (таковых большинство) воспринимают любые криптомайнеры, как зловредное ПО. Другие — относятся к такого рода программам безразлично.
Автор: Максим Агаджанов