Un’organizzazione criminale ha incassato ben 3,4 milioni di dollari compromettendo i server Jenkins e installando il miner di criptovaluta Monero JenkinsMiner. Ecco com’è andata
Nelle ultime settimane stiamo assistendo ad un allarmate fenomeno, la diffusione di codici malevoli che sfruttano le risorse delle vittime per attività di mining di criptovalute.
Questi malware, denominati crytocurrency miner, sono estremamente remunerativi per l’impresa criminale e rappresentano una seria minaccia soprattutto per le imprese. Gruppi dediti al crimine informatico prendono di mira principalmente i server per sfruttarne le maggiori capacità computazionali.
JenkinsMiner: una delle più grandi operazioni di mining illegale
Notizia dell’ultima ora è la scoperta di una nuova massiva operazione di mining operata da un gruppo criminale mediante un malware denominato JenkinsMiner.
La scoperta è stata fatta dagli esperti dell’azienda di sicurezza CheckPoint: un’organizzazione criminale ha incassato ben 3,4 milioni di dollari compromettendo i server Jenkins e installando il miner di criptovaluta Monero JenkinsMiner.
Ci troviamo quindi dinanzi ad una delle più grandi operazioni di mining illegale individuata ad oggi.
“L’attaccante, presumibilmente di origine cinese, ha eseguito il minatore XMRig su molte versioni di Windows e si è già assicurato più di 3 milioni di dollari di Monero di criptovaluta. Come se ciò non bastasse, ora ha alzato il livello della sua operazione prendendo di mira i potenti server di Jenkins CI, riuscendo così a generare ancora più moneta”. Afferma un post pubblicato da CheckPoint.
Com’è avvenuta l’operazione
Jenkins è il più popolare server di automazione open source, è gestito da CloudBees e dalla comunità Jenkins.
Il server di automazione supporta gli sviluppatori che creano, testano e distribuiscono le loro applicazioni, con oltre 133.000 installazioni attive in tutto ed oltre 1 milione di utenti.
Secondo i ricercatori, gli attori delle minacce dietro la massiccia operazione di mining sfruttano la vulnerabilità nota CVE-2017-1000353 che consente ad un attaccante remoto di eseguire codice arbitrario.
Per i più tecnici, la vulnerabilità risiede nell’implementazione della deserializzazione Java di Jenkins ed è causata alla mancata convalida dell’oggetto serializzato. Sfruttando la falla i criminali riescono a scaricare e installare il malware JenkinsMiner sui server Jenkins.
“L’operazione ha utilizzato un Trojan di accesso remoto (RAT) e un minatore XMRig negli ultimi mesi per colpire le vittime in tutto il mondo. Il minatore è in grado di girare su molte piattaforme e versioni di Windows, e sembra che la maggior parte delle vittime finora siano personal computer. Nelle diverse campagne, il malware ha subito diversi aggiornamenti e anche il pool minerario utilizzato per trasferire i profitti è stato modificato” continua il post.
La maggior parte dei download per il malware JenkinsMiner sono relativi ad un indirizzo IP situato in Cina e assegnato al centro informazioni del governo di Huaian, ovviamente, non siamo in grado di determinare se il server è stato compromesso o utilizzato in modo esplicito da hacker sponsorizzati dallo stato.
I rischi concreti e l’impatto sulle aziende
I ricercatori ritengono che la campagna possa proseguire nei prossimi mesi per questo motivo è cruciale la condivisione delle informazioni relative alla minaccia.
Il rapporto pubblicato da Check Point include molti dettagli tecnici e come di consueto gli indicatori di compromissione utili agli amministratori di sistema per individuare la minaccia nelle loro infrastrutture.
L’attacco ai sistemi Jenkins espone numerose azione a rischi concreti, la compromissione dei server può avere un impatto significativo sulle operazioni delle aziende.
Sfortunatamente non è la prima volta che ci occupiamo dei server Jenkins, a gennaio, l’esperto di sicurezza Mikail Tunç ha analizzato i server Jenkins esposti online scoprendo che molte istanze perdevano informazioni sensibili.
I sistemi Jenkins richiedono la disponibilità delle credenziali al repository del codice dei gruppi di sviluppo e l’accesso a un ambiente in cui distribuire il codice, in genere GitHub, AWS e Azure. Una configurazione non corretta dell’applicazione può esporre i dati a seri rischi.