Kendt sårbarhed udnyttet på danske universiteter til at mine kryptovaluta

Illustration: jk21/Bigstock
En sårbarhed i Oracles WebLogic Server har givet malware adgang til universiteters testsystemer.

Adskillige danske universiteter er blevet inficeret med malware, der udnytter institutionernes computerkraft til at udvinde kryptovalutaen monero.

Malwaren har efter alt at dømme udnyttet en kendt sårbarhed i Oracles WebLogic Server, fortæller chef for DKCERT Henrik Larsen.

»Der er ikke noget, der tyder på, at det er brugere, der har foretaget sig noget, de ikke måtte. Vores opfattelse er, at malwaren har skannet efter sårbarheden i WebLogic, og derefter er gået efter at inficere systemet,« siger han til Version2.

Læs også: Malware-udviklere kaster sig over JavaScript-bibliotek, der miner krypto-penge i browseren

I USA har virksomheder de seneste måneder set en bølge af malware, der alle sammen går efter at udnytte offerets computerkraft til at udvinde kryptovalutaen.

Som oftest er der tale om kryptovalutaen monero, der udvindes gennem et JavaScript kaldet Coinhive.

Version2 har tidligere kunne fortælle om den danske hjemmeside Spiseliv.dk, der uden at vide det anvendte besøgendes computere til at udvinde monero for ukendte malware-bagmænd.

Læs også: Spiseliv.dk infiltreret af script: Bruger-pc'er misbrugt til mining af kryptovaluta

Det er den samme type angreb, som har ramt 4-5 danske uddannelsesinstitutioner.

»Vi har en række institutioner på forskningsnettet, der har været udsat for det her angreb. De opdager, at de har testsystemer, som pludselig kører med 100 procent CPU. Og det viser sig, at det er en monero-miner, der er blevet installeret,« fortæller Henrik Larsen.

Chef for DKCERT og WAYF Henrik Larsen Illustration: DeIC

Under radaren

Sårbarheden i WebLogic har haft en patch siden oktober sidste år. Men den er tilsyneladende ikke blevet implementeret i tide på de berørte institutioner.

»Det kan være, at man ikke har været lige så omhyggelig med at patche testsystemet som produktionssystemet. Men optimalt set bør man teste patchen på et testsystem først,« siger Henrik Larsen.

DKCERT har som mission at hjælpe uddannelses- og forskningssektoren med it-sikkerheden - blandt andet ved at udføre sårbarhedsscanninger hos institutionerne.

I dette tilfælde er sagerne blevet opdaget og indberettet af institutionerne selv. Nogle steder er malwaren blevet spottet af overvågning, i andre tilfælde har man opdaget, at systemerne slår ud med 100 procent CPU-forbrug på tidspunkter, hvor de ikke burde.

Læs også: Equifax havde åbenbart ikke: Har du styr på din patch-management?

»Jeg synes generelt vores universiteter og uddannelsesinstitutioner er blevet dygtigere til at fange de her ting. Det er vores indtryk, at det her er blevet opdaget relativt hurtigt. Men det kan vi ikke vide med 100 procents sikkerhed, ligesom vi ikke kan vide, om der er andre inficerede systemer,« siger Henrik Larsen.

For eksempel er afarter af malwaren designet til netop ikke at bruge 100 procent af offerets CPU.

»Og så kan de få lov til at køre under radaren i længere tid uden at blive opdaget,« siger Henrik Larsen.

Krypto-mining er det nye ransomware

I de seneste måneder har sikkerhedsforskere afsløret ondsindede krypto-minere i browser-plugins, hjemmesider, apps og sågar et enkelt SCADA-system.

Skaberne af scriptet CoinHive, der ligger til grund for teknikken, havde som erklæret mål, at browser-mining kunne være et alternativ til reklamer på hjemmesider.

Men udviklerne havde tilsyneladende ikke taget højde for malware-potentialet i scriptet.

Læs også: Malware fik SCADA-system i rensningsanlæg til at mine kryptopenge

Coinhive er siden kommet i en Opt-In-udgave – AuthedMine – hvor brugere skal give sit samtykke til mining. Det er der til gengæld meget få, der har taget i brug, mener forskere fra sikkerhedsfirmaet Malwarebytes.

Coinhive-udviklerne mener ifølge The Register selv, at omkring en tredjedel af hjemmesider, der udvinde monero, spørger brugeren om lov.

Læs også: Sikkerhedsfirma: 19 apps kan mine kryptovaluta i det skjulte på din mobil

Hos DKCERT ser man bølgen af mining-malware som et skift i de it-kriminelles præferencer.

»Vi ser en tendens, hvor mange it-kriminelle går over til at bruge malware, der miner kryptovaluta frem for ransomware. Med ransomware er du nødt til at få offeret til at betale, men det skal du ikke her,« siger Henrik Larsen.

»Det er formentlig en tendens, der kommer til at fortsætte, for det er svært at regulere, og det er rigtig svært at efterforske. Det bliver nemmere at mine kryptovaluta end noget andet.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Selvom det er træls at få ukendt kode ind, er det noget bedre end at alt bliver lagt ned og man skal til at finde backuppen frem. Mon ikke disse malware med tiden ikke kun bruger en javascript-miner, men også mere effektive implementeringer, så man kan få mere ud af de bokse man inficerer.

Man kan også sige, at dette er endnu et søm i kisten mod argumentet: Der er da ingen der gider hacke os.

  • 2
  • 0
Henrik Kramshøj Blogger

Forskningsnettet er et samlende begreb om en del af de services og den infrastruktur der drives igennem DeiC - Danish e-Infrastructure Cooperation https://www.deic.dk/

Så dit spørgsmål kan ikke besvares direkte, men de tilsluttede organisationer må undersøges for om de har sundhedsdata og om de er beskyttet.

Sådan meget forsimplet er DeiC en slags internetudbyder for danske universiteter med mere, og har en masse andre services som WAYF.

Note: full-disclosure, jeg arbejder i NORDUnet og arbejder tæt sammen med DeiC

  • 4
  • 0
Anne-Marie Krogsbøll

Tak for svar, Henrik Kramshøj.

Hvis jeg skal oversætte dit svar til mit eget forståelsesniveau, så er svaret vel et klart "Det kan ikke afvises, at denne sårbarhed kan bruges til/allerede have været brugt til at tilgå stærkt personfølsomme persondata/sundhedsdata."?

Har du et bud på, hvorledes man kan blive klogere på, om det så faktisk er tilfældet, at sårbarheden har været brugt/bruges på den måde? En liste over tilknyttede organisationer, så man kan kontakte dem, f.eks.? (vil dog også prøve selv at finde den på DeiC's hjemmeside.

  • 0
  • 0
Anne-Marie Krogsbøll

Hvis det er samtlige danske sundhedsregistre, der er koblet på, så bliver det en større detektivopgave. Sidst jeg tjekkede, var der vist 164 af den slags. Vi må håbe, at de ansvarlige i det mindste selv er klare over, om deres net har været udsat - men jeg synes da nok, at det også kommer os andre - ofrene - ved. Der tegner sig vel endnu en mulig kæmpe sundhedsdataskandale der - hvor ingen endnu engang aner, hvor meget der kan være lækket?

  • 0
  • 0
KT KT
  1. Det er usandsynligt at der er blevet implementeret en jsminer "JavaScript kaldet Coinhive", i et system som der er adgang til for en hacker. Det ville ikke give nogen mening, da coinhive har ekstremt høje gebyrer, og du ikke kan få mere end 40% ud af CPU'en, da CPU'er ikke har den tilgængelige L3 cache, til at udnytte både virtuelle og fysiske CPU'er - som de fungere i windows - så jeg er ikke helt sikker på hvor i har de informationer fra?

Knud Jensen :

Hvilke spor mener du?
Der er som sådan ikke spor at hente på en kryptominer - og slet ikke når han udvinder XMR(monero), som i dette tilfælde - da blokkæden har en meget høj privacy-struktur, og ingen analyser kan sammenkoble adresser i netværket.

Og jo, udgiften til strøm på en server herhjemme, er ekstremt stor for størrer CPU'er. Derfor går hackere også efter lande med billigere strøm, såsom Kina, hvor 1kwh koster 0.01c, mod 0.25-4 i Danmark. I Danmark ville et firma hurtigt blive obs på en strømregning med stigning fra måske 300kr til 4000kr pr måned.

»Vi ser en tendens, hvor mange it-kriminelle går over til at bruge malware, der miner kryptovaluta frem for ransomware. Med ransomware er du nødt til at få offeret til at betale, men det skal du ikke her,« siger Henrik Larsen.

Dette er ikke min mening. Dem som inficere med ransomware, lever stadig godt af deres forretning. Og ransomware kræver ikke samme kendskab til IT, som kryptomining gør. Nok er kryptomining nemt i lille skala uden optimeringer i software, eller remotehardware, men det giver bare mere for scriptkiddies at fortsætte deres jagt på guldet, via ransomware. Ransom-software sælges flere steder, og er meget nemt at installere.

»Det er formentlig en tendens, der kommer til at fortsætte, for det er svært at regulere, og det er rigtig svært at efterforske. Det bliver nemmere at mine kryptovaluta end noget andet.«

Helt enig i den første del. Det er umuligt at regulere, og de profesionelle kan ikke spores - det er ikke blot svært - det er umuligt i en given "case". Fakta.
Og hvad ville det blive straffet med? Hacking selvfølgelig - men hvad med strømmen? Hvad med kryptoen?
Gerningsmanden ville selvfølge påstå at han ikke har været den eneste med adgang til denne server (hvilket ville være MEGET sandsynligt, især hvis han har brugt en public exploit eller en form for bruteforce) - og kryptoen ville ligge i en wallet et eller andet sted, som er sikret med en memo.

Så hvad kan personen dømmes for? Hacking. Sikker i rammen der går op til 6 år, da det ville være organiseret, eftersom det er sandsynligt han ville være tiltalt for hacking af adskillige servere.
Men han har intet udbytte. Han har ingen skade gjort. Dette er meget lempende. (og måske endda flovt for anklageren?), og han ville sikkert ende med 3-18 måneder, for et beløb jeg ikke tør nævne her.
Der er utroligt mange penge i kryptomining for IT kriminelle disse dage, og hver dag Bitcoin stiger, så stiger altcoins.
Mining er kommet for at blive, både hos hobbyfolkene, og de IT kriminelle.

  • 0
  • 0
Log ind eller Opret konto for at kommentere