8220 זו קבוצת האקרים, לא יחידת מודיעין

8200 היא אחת מיחידות הטכנולוגיה העלית של צה"ל, ואחד הגופים הטכנולוגיים הטובים בעולם, ששמו יצא כבר מזמן למרחוק. שמה של קבוצת ההאקרים Gang 8220 מעלה את התהייה האם הקרבה של המספר הזה למספרה של יחידת המודיעין המהוללת גרם לה לבחור בו, אבל מסתבר שלא זאת הסיבה: הקבוצה, שהתגלתה עוד ב-2018, בחרה בשמה מאחר שהיא מנצלת את פורט (מבואה) 8220 לביצוע המתקפות שלה.

היום (ה') הודיעה חברת הסייבר סנטינל וואן שהיא חשפה פעילות נוספת של כנופיית ההאקרים הזאת, שהדביקה כ-30 אלף קורבנות ברחבי העולם, תוך שימוש בפגיעויות במערכת לינוקס, ניצול חולשות באפליקציות ענן וטעויות תצורה של שרתי ענן.

Gang 8220 מנצלת גרסה חדשה של בוטנט, שמשתמש ב-IRC – פרוטוקול המשמש לשיחות טקסטואליות ברשת – בשם PwnRig, שלאחר ההדבקה מבצע כריית מטבעות קריפטו, תוך ניצול משאבי המחשוב של הקורבן. חברי הקבוצה, שעל פי חוקרי מודיעין האיומים של סיסקו מוצאה בסין, מנצלים את פורט 8220 לתקשורת בין המחשבים המודבקים לבין שרת השליטה, C2.

גידול ניכר במספר הקורבנות של הקבוצה

עד לזמן האחרון, נתגלו בערך 2,000 הדבקות של מחשבי קורבנות ברחבי העולם על ידי חברי הקבוצה, לצורך כריית מטבעות קריפטו. אולם, בחודש האחרון הם ערכו קמפיין חדש, שהגדיל באופן משמעותי את יכולת ההדבקה וניצול הקורבנות שלהם, וכך הם הגיעו להיקף של כ-30 אלף איש.

לפי החוקרים של סנטינל וואן, ההאקרים חברי Gang 8220 השתמשו בקמפיין הנוכחי ב-Miner – נוזקה שמיועדת לכריית מטבעות קריפטו בצורה "שקטה" ואיטית. הם עשו זאת תוך ניצול חולשות בדוקרים, וכן בשרתי Hadoop ,Redis וב-Drupal.

הקורבנות של קבוצת ההאקרים הסינים הם משתמשים של שירותי ענן שונים: AWS, גוגל קלאוד, Azure של מיקרוסופט ואחרים. הם לא מגיעים ממדינה או אזור מסוימים, והם מפעילים אפליקציות שונות, שפתוחות לרשת האינטרנט, כגון דוקר, וובלוג'יק ו-Apache.

ההדבקה מבוצעת בעזרת Brute Force, שמנסה מאות סיסמאות ברירת מחדל שמקודדות לתוך התקני לינוקס שונים. לאחר ההדבקה, הנוזקה מחפשת מחשבים נוספים ברשת, על מנת להדביק גם אותם. בנוסף, היא מורידה ומתקינה את הכורה PwnRig, שמבוסס על כלי כרייה בקוד פתוח בשם XMRig.

החוקרים ציינו כי "הקבוצה מפעילה כלי הדבקה פשוטים, שמבוססים על הדבקה אופורטוניסטית של מערכות לינוקס בענן, אשר פתוחות לאינטרנט. על אף הפשטות של הכלים והטכניקות, הקבוצה הצליחה להדביק עשרות אלפי מחשבים ברחבי העולם, שמבצעים עבורה פעולות כריית קריפטו – וזאת ללא ידיעת הקורבנות".