Kendt sårbarhed udnyttet på danske universiteter til at mine kryptovaluta

9 kommentarer.  Hop til debatten
Kendt sårbarhed udnyttet på danske universiteter til at mine kryptovaluta
Illustration: jk21/Bigstock.
En sårbarhed i Oracles WebLogic Server har givet malware adgang til universiteters testsystemer.
person
Reportage28. februar 2018 kl. 05:12
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Adskillige danske universiteter er blevet inficeret med malware, der udnytter institutionernes computerkraft til at udvinde kryptovalutaen monero.

Malwaren har efter alt at dømme udnyttet en kendt sårbarhed i Oracles WebLogic Server, fortæller chef for DKCERT Henrik Larsen.

Version2 Infosecurity

It-sikkerhedsmessen Infosecurity Denmark 2018, som Version2 er medarrangør af, byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Flere oplysninger

Vil du gå direkte til tilmelding, klik her.

»Der er ikke noget, der tyder på, at det er brugere, der har foretaget sig noget, de ikke måtte. Vores opfattelse er, at malwaren har skannet efter sårbarheden i WebLogic, og derefter er gået efter at inficere systemet,« siger han til Version2.

Artiklen fortsætter efter annoncen

I USA har virksomheder de seneste måneder set en bølge af malware, der alle sammen går efter at udnytte offerets computerkraft til at udvinde kryptovalutaen.

Som oftest er der tale om kryptovalutaen monero, der udvindes gennem et JavaScript kaldet Coinhive.

Version2 har tidligere kunne fortælle om den danske hjemmeside Spiseliv.dk, der uden at vide det anvendte besøgendes computere til at udvinde monero for ukendte malware-bagmænd.

Det er den samme type angreb, som har ramt 4-5 danske uddannelsesinstitutioner.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Vi har en række institutioner på forskningsnettet, der har været udsat for det her angreb. De opdager, at de har testsystemer, som pludselig kører med 100 procent CPU. Og det viser sig, at det er en monero-miner, der er blevet installeret,« fortæller Henrik Larsen.
Chef for DKCERT og WAYF Henrik Larsen

DKCERT

DKCERT (Danish Computer Security Incident Response Team) overvåger sikkerheden på forskningsnettet og informerer om aktuelle sikkerhedshændelser. DKCERT er en tjeneste fra DeiC - Danish e-Infrastructure Cooperation.

Det er DKCERTs mission at skabe øget fokus på informationssikkerhed i uddannelses- og forskningssektoren ved at opbygge og skabe aktuel, relevant og brugbar viden. Denne viden gør DKCERT i stand til at offentliggøre og udsende advarsler og anden information om potentielle risici og begyndende sikkerhedsproblemer.

Kilde: DKCERT

Under radaren

Sårbarheden i WebLogic har haft en patch siden oktober sidste år. Men den er tilsyneladende ikke blevet implementeret i tide på de berørte institutioner.

»Det kan være, at man ikke har været lige så omhyggelig med at patche testsystemet som produktionssystemet. Men optimalt set bør man teste patchen på et testsystem først,« siger Henrik Larsen.

DKCERT har som mission at hjælpe uddannelses- og forskningssektoren med it-sikkerheden - blandt andet ved at udføre sårbarhedsscanninger hos institutionerne.

I dette tilfælde er sagerne blevet opdaget og indberettet af institutionerne selv. Nogle steder er malwaren blevet spottet af overvågning, i andre tilfælde har man opdaget, at systemerne slår ud med 100 procent CPU-forbrug på tidspunkter, hvor de ikke burde.

»Jeg synes generelt vores universiteter og uddannelsesinstitutioner er blevet dygtigere til at fange de her ting. Det er vores indtryk, at det her er blevet opdaget relativt hurtigt. Men det kan vi ikke vide med 100 procents sikkerhed, ligesom vi ikke kan vide, om der er andre inficerede systemer,« siger Henrik Larsen.

For eksempel er afarter af malwaren designet til netop ikke at bruge 100 procent af offerets CPU.

»Og så kan de få lov til at køre under radaren i længere tid uden at blive opdaget,« siger Henrik Larsen.

Krypto-mining er det nye ransomware

I de seneste måneder har sikkerhedsforskere afsløret ondsindede krypto-minere i browser-plugins, hjemmesider, apps og sågar et enkelt SCADA-system.

Skaberne af scriptet CoinHive, der ligger til grund for teknikken, havde som erklæret mål, at browser-mining kunne være et alternativ til reklamer på hjemmesider.

Men udviklerne havde tilsyneladende ikke taget højde for malware-potentialet i scriptet.

Coinhive er siden kommet i en Opt-In-udgave – AuthedMine – hvor brugere skal give sit samtykke til mining. Det er der til gengæld meget få, der har taget i brug, mener forskere fra sikkerhedsfirmaet Malwarebytes.

Coinhive-udviklerne mener ifølge The Register selv, at omkring en tredjedel af hjemmesider, der udvinde monero, spørger brugeren om lov.

Hos DKCERT ser man bølgen af mining-malware som et skift i de it-kriminelles præferencer.

»Vi ser en tendens, hvor mange it-kriminelle går over til at bruge malware, der miner kryptovaluta frem for ransomware. Med ransomware er du nødt til at få offeret til at betale, men det skal du ikke her,« siger Henrik Larsen.

»Det er formentlig en tendens, der kommer til at fortsætte, for det er svært at regulere, og det er rigtig svært at efterforske. Det bliver nemmere at mine kryptovaluta end noget andet.«

9 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
9
KT KT
1. marts 2018 kl. 14:41
  1. Det er usandsynligt at der er blevet implementeret en jsminer "JavaScript kaldet Coinhive", i et system som der er adgang til for en hacker. Det ville ikke give nogen mening, da coinhive har ekstremt høje gebyrer, og du ikke kan få mere end 40% ud af CPU'en, da CPU'er ikke har den tilgængelige L3 cache, til at udnytte både virtuelle og fysiske CPU'er - som de fungere i windows - så jeg er ikke helt sikker på hvor i har de informationer fra?

Knud Jensen :

Hvilke spor mener du? Der er som sådan ikke spor at hente på en kryptominer - og slet ikke når han udvinder XMR(monero), som i dette tilfælde - da blokkæden har en meget høj privacy-struktur, og ingen analyser kan sammenkoble adresser i netværket.

Og jo, udgiften til strøm på en server herhjemme, er ekstremt stor for størrer CPU'er. Derfor går hackere også efter lande med billigere strøm, såsom Kina, hvor 1kwh koster 0.01c, mod 0.25-4 i Danmark. I Danmark ville et firma hurtigt blive obs på en strømregning med stigning fra måske 300kr til 4000kr pr måned.

»Vi ser en tendens, hvor mange it-kriminelle går over til at bruge malware, der miner kryptovaluta frem for ransomware. Med ransomware er du nødt til at få offeret til at betale, men det skal du ikke her,« siger Henrik Larsen.

Dette er ikke min mening. Dem som inficere med ransomware, lever stadig godt af deres forretning. Og ransomware kræver ikke samme kendskab til IT, som kryptomining gør. Nok er kryptomining nemt i lille skala uden optimeringer i software, eller remotehardware, men det giver bare mere for scriptkiddies at fortsætte deres jagt på guldet, via ransomware. Ransom-software sælges flere steder, og er meget nemt at installere.

»Det er formentlig en tendens, der kommer til at fortsætte, for det er svært at regulere, og det er rigtig svært at efterforske. Det bliver nemmere at mine kryptovaluta end noget andet.«

Helt enig i den første del. Det er umuligt at regulere, og de profesionelle kan ikke spores - det er ikke blot svært - det er umuligt i en given "case". Fakta. Og hvad ville det blive straffet med? Hacking selvfølgelig - men hvad med strømmen? Hvad med kryptoen? Gerningsmanden ville selvfølge påstå at han ikke har været den eneste med adgang til denne server (hvilket ville være MEGET sandsynligt, især hvis han har brugt en public exploit eller en form for bruteforce) - og kryptoen ville ligge i en wallet et eller andet sted, som er sikret med en memo.

Så hvad kan personen dømmes for? Hacking. Sikker i rammen der går op til 6 år, da det ville være organiseret, eftersom det er sandsynligt han ville være tiltalt for hacking af adskillige servere. Men han har intet udbytte. Han har ingen skade gjort. Dette er meget lempende. (og måske endda flovt for anklageren?), og han ville sikkert ende med 3-18 måneder, for et beløb jeg ikke tør nævne her. Der er utroligt mange penge i kryptomining for IT kriminelle disse dage, og hver dag Bitcoin stiger, så stiger altcoins. Mining er kommet for at blive, både hos hobbyfolkene, og de IT kriminelle.

  • more_vert
    • insert_linkKopier link
8
Knud Jensen
1. marts 2018 kl. 03:07

Ved ikke om det er bedre. Der kommer jo nok en den dag hvor de vil slette sporene efter sig.

Og så tænker jeg at udgiften i strøm til kryptomining nemt kan overstige udgiften til at indlæse en backup.

  • more_vert
    • insert_linkKopier link
7
Anne-Marie Krogsbøll
28. februar 2018 kl. 15:26

Hvis det er samtlige danske sundhedsregistre, der er koblet på, så bliver det en større detektivopgave. Sidst jeg tjekkede, var der vist 164 af den slags. Vi må håbe, at de ansvarlige i det mindste selv er klare over, om deres net har været udsat - men jeg synes da nok, at det også kommer os andre - ofrene - ved. Der tegner sig vel endnu en mulig kæmpe sundhedsdataskandale der - hvor ingen endnu engang aner, hvor meget der kan være lækket?

  • more_vert
    • insert_linkKopier link
6
Henrik Kramselund Jereminsen
28. februar 2018 kl. 15:19

Det svarer lidt til at finde alle der er forbundet til internet.

Jeg tror det vil være bedre at starte med dem som har sundhedsoplysninger, men det er måske kun datatilsynet der har et register over sundhedsregistrene?

  • more_vert
    • insert_linkKopier link
5
Anne-Marie Krogsbøll
28. februar 2018 kl. 15:02

Tak for svar, Henrik Kramshøj.

Hvis jeg skal oversætte dit svar til mit eget forståelsesniveau, så er svaret vel et klart "Det kan ikke afvises, at denne sårbarhed kan bruges til/allerede have været brugt til at tilgå stærkt personfølsomme persondata/sundhedsdata."?

Har du et bud på, hvorledes man kan blive klogere på, om det så faktisk er tilfældet, at sårbarheden har været brugt/bruges på den måde? En liste over tilknyttede organisationer, så man kan kontakte dem, f.eks.? (vil dog også prøve selv at finde den på DeiC's hjemmeside.

  • more_vert
    • insert_linkKopier link
4
Henrik Kramselund Jereminsen
28. februar 2018 kl. 14:54

Forskningsnettet er et samlende begreb om en del af de services og den infrastruktur der drives igennem DeiC - Danish e-Infrastructure Cooperation https://www.deic.dk/

Så dit spørgsmål kan ikke besvares direkte, men de tilsluttede organisationer må undersøges for om de har sundhedsdata og om de er beskyttet.

Sådan meget forsimplet er DeiC en slags internetudbyder for danske universiteter med mere, og har en masse andre services som WAYF.

Note: full-disclosure, jeg arbejder i NORDUnet og arbejder tæt sammen med DeiC

  • more_vert
    • insert_linkKopier link
3
Anne-Marie Krogsbøll
28. februar 2018 kl. 14:21

Amatør-spørgsmål: Ville denne sårbarhed kunne udnyttes til at tilgå forskningsdata, eks. vore ekstremt følsomme sundhedsdata?

  • more_vert
    • insert_linkKopier link
2
Albert Nielsen
28. februar 2018 kl. 13:50

Man er dilettant, hvis man ikke tester alle patches på et testsystem før man installerer dem på et produktionssystem.

  • more_vert
    • insert_linkKopier link
1
Simon Mikkelsen
28. februar 2018 kl. 09:25

Selvom det er træls at få ukendt kode ind, er det noget bedre end at alt bliver lagt ned og man skal til at finde backuppen frem. Mon ikke disse malware med tiden ikke kun bruger en javascript-miner, men også mere effektive implementeringer, så man kan få mere ud af de bokse man inficerer.

Man kan også sige, at dette er endnu et søm i kisten mod argumentet: Der er da ingen der gider hacke os.

  • more_vert
    • insert_linkKopier link