איראן תקפה שרתי בסיסי נתונים לטובת כריית מטבעות קריפטו

מעקב אחר MrbMiner – כורה מטבעות קריפטוגרפיים שנחשף באחרונה, הוביל את חוקרי סופוס לחברת פיתוח תוכנה קטנה באיראן.

על פי חוקרי סופוס, MrbMiner תוקף שרתים של בסיסי נתונים המחוברים לאינטרנט (SQL Server)  ומתקין בהם כורה מטבעות. שרתים של בסיסי נתונים הם מטרות מושכות עבור כורים, כיוון שהם משמשים לצורך פעילות עתירת משאבים, ולכן יש להם יכולת עיבוד גבוהה, הסבירו.

מעבדת סופוס מצאה, כי התוקפים השתמשו בכמה אפיקים כדי להתקין את תוכנת הכרייה הזדונית על גבי שרת היעד. המטען הזדוני לכריית מטבעות בו השתמשו וקובצי ההגדרות נארזו בקבצי ארכיב מסוג ZIP בעלי שמות מטעים. השם של חברת התוכנה האיראנית קודד בקובץ ההגדרות הראשי של תוכנת הכרייה. הדומיין הזה מחובר לקובצי ZIP רבים אחרים, אשר מכילים עותקים של תוכנת הכרייה. קבצי ZIP אלו הורדו אל השרתים מדומיינים אחרים, שאחד מהם הוא mrbftp.xyz.

"בדרכים רבות, הפעילות של MrbMiner נראית טיפוסית לרוב התקפות הכרייה שראינו כנגד שרתים המחוברים לרשת", אמר גבור סזפנוס, מנהל אבטחת איומים של מעבדת סופוס, "אבל כאן נראה שהתוקף הסיר כל מעטה של זהירות בכל הנוגע להסתרת הזהות שלו. רבות מהרשומות הקשורות להגדרות תוכנת הכרייה, כולל הדומיינים וכתובת ה-IP, מובילות למקור בודד: חברת תוכנה המבוססת באיראן".

"בעידן של מתקפות כופרה בהיקפים של מיליוני דולרים, אשר מפילות ארגונים שלמים לברכיים, קל לבטל את פריצת הקריפטו ולראות בה מטרד, ולא איום רציני", ציינו החוקרים, "אבל זו תהיה טעות: פריצת קריפטו היא איום שקט ובלתי נראה, שקל להטמיעו וקשה מאוד לזהות אותו. יותר מכך, ברגע שמערכת נפגעה היא מהווה שער פתוח לאיומים אחרים, כגון כופרות. לכן, חשוב לעצור מיד פריצת קריפטו. חפשו אחר סימנים, כגון ירידה במהירות ובביצועי המחשב, שימוש גובר בחשמל, חימום יתר של מכשירים ושימוש גובר ב-CPU".