DELL Secure Works опубликовали интересный отчет о крупномасштабной незаконной добыче догкойнов, имевшей место в феврале этого года.
Пользователи начали замечать, что их NAS-устройства компании Synology начали работать с задержками и имели при этом высокую загрузку процессора. В результате исследования компания Synology разместила пост в сети Facebook, в котором говорится, что причиной чрезмерного потребления ресурсов стала работа вредоносного программного обеспечения, заразившего системы, которое сохранялось в папку с ироничным названием «PWNED» («ХАКНУТО»).
Synology – тайваньская компания, которая известна на рынке NAS-систем. В этих системах используется операционная система на основе Linux, называемая Disk Station Manager (DSM), которая, как сообщается, имела 4 уязвимости, позволяющие злоумышленникам получить права администратора.
Эти уязвимости широко освещались в сети, сразу после этого Internet Storm Center сообщил о росте количества соединений с портом 5000 — это порт по умолчанию для NAS-устройств Synology.
При анализе образцов вредоносного ПО в папке «PWNED», было обнаружены следы трояна CPUMiner. Такое сочетание параметров, а также использование порта назначения (8332) явно намекали на криптовалюту. Дальнейшие исследования подтвердили это предположение — было обнаружено, что это была вредоносная программа-майнер CPUMiner, адаптированная специально для платформы Synology.
Дальнейшие исследования выяснили, что устройства добывали догкойны и отправляли их на адрес D9cDqmVjYXdeDjMtXSV7Z3LgiHvRZ12bPX, а также на еще один другой.
В целом, тому, кто стоял за этой атакой удалось намайнить колоссальные 500 миллионов догкойнов общей стоимостью $620 494, распределенных между двумя адресами.
По словам Secure Works, этот инцидент является «самым прибыльным в сфере незаконной добычи криптовалют», несмотря на то, что это далеко не первый подобный случай.
В то время как никто не знает подробностей о человеке/группе лиц, создавших этот незаконный догкойн-майнинг ботнет, Secure Works предполагают, что злоумышленники имеют немецкое происхождение.