Kendt sårbarhed udnyttet på danske universiteter til at mine kryptovaluta
Adskillige danske universiteter er blevet inficeret med malware, der udnytter institutionernes computerkraft til at udvinde kryptovalutaen monero.
Malwaren har efter alt at dømme udnyttet en kendt sårbarhed i Oracles WebLogic Server, fortæller chef for DKCERT Henrik Larsen.
It-sikkerhedsmessen Infosecurity Denmark 2018, som Version2 er medarrangør af, byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København. Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Vil du gå direkte til tilmelding, klik her.Version2 Infosecurity
»Der er ikke noget, der tyder på, at det er brugere, der har foretaget sig noget, de ikke måtte. Vores opfattelse er, at malwaren har skannet efter sårbarheden i WebLogic, og derefter er gået efter at inficere systemet,« siger han til Version2.
I USA har virksomheder de seneste måneder set en bølge af malware, der alle sammen går efter at udnytte offerets computerkraft til at udvinde kryptovalutaen.
Som oftest er der tale om kryptovalutaen monero, der udvindes gennem et JavaScript kaldet Coinhive.
Version2 har tidligere kunne fortælle om den danske hjemmeside Spiseliv.dk, der uden at vide det anvendte besøgendes computere til at udvinde monero for ukendte malware-bagmænd.
Det er den samme type angreb, som har ramt 4-5 danske uddannelsesinstitutioner.
»Vi har en række institutioner på forskningsnettet, der har været udsat for det her angreb. De opdager, at de har testsystemer, som pludselig kører med 100 procent CPU. Og det viser sig, at det er en monero-miner, der er blevet installeret,« fortæller Henrik Larsen. DKCERT (Danish Computer Security Incident Response Team) overvåger sikkerheden på forskningsnettet og informerer om aktuelle sikkerhedshændelser. DKCERT er en tjeneste fra DeiC - Danish e-Infrastructure Cooperation. Det er DKCERTs mission at skabe øget fokus på informationssikkerhed i uddannelses- og forskningssektoren ved at opbygge og skabe aktuel, relevant og brugbar viden. Denne viden gør DKCERT i stand til at offentliggøre og udsende advarsler og anden information om potentielle risici og begyndende sikkerhedsproblemer.DKCERT
Under radaren
Sårbarheden i WebLogic har haft en patch siden oktober sidste år. Men den er tilsyneladende ikke blevet implementeret i tide på de berørte institutioner.
»Det kan være, at man ikke har været lige så omhyggelig med at patche testsystemet som produktionssystemet. Men optimalt set bør man teste patchen på et testsystem først,« siger Henrik Larsen.
DKCERT har som mission at hjælpe uddannelses- og forskningssektoren med it-sikkerheden - blandt andet ved at udføre sårbarhedsscanninger hos institutionerne.
I dette tilfælde er sagerne blevet opdaget og indberettet af institutionerne selv. Nogle steder er malwaren blevet spottet af overvågning, i andre tilfælde har man opdaget, at systemerne slår ud med 100 procent CPU-forbrug på tidspunkter, hvor de ikke burde.
»Jeg synes generelt vores universiteter og uddannelsesinstitutioner er blevet dygtigere til at fange de her ting. Det er vores indtryk, at det her er blevet opdaget relativt hurtigt. Men det kan vi ikke vide med 100 procents sikkerhed, ligesom vi ikke kan vide, om der er andre inficerede systemer,« siger Henrik Larsen.
For eksempel er afarter af malwaren designet til netop ikke at bruge 100 procent af offerets CPU.
»Og så kan de få lov til at køre under radaren i længere tid uden at blive opdaget,« siger Henrik Larsen.
Krypto-mining er det nye ransomware
I de seneste måneder har sikkerhedsforskere afsløret ondsindede krypto-minere i browser-plugins, hjemmesider, apps og sågar et enkelt SCADA-system.
Skaberne af scriptet CoinHive, der ligger til grund for teknikken, havde som erklæret mål, at browser-mining kunne være et alternativ til reklamer på hjemmesider.
Men udviklerne havde tilsyneladende ikke taget højde for malware-potentialet i scriptet.
Coinhive er siden kommet i en Opt-In-udgave – AuthedMine – hvor brugere skal give sit samtykke til mining. Det er der til gengæld meget få, der har taget i brug, mener forskere fra sikkerhedsfirmaet Malwarebytes.
Coinhive-udviklerne mener ifølge The Register selv, at omkring en tredjedel af hjemmesider, der udvinde monero, spørger brugeren om lov.
Hos DKCERT ser man bølgen af mining-malware som et skift i de it-kriminelles præferencer.
»Vi ser en tendens, hvor mange it-kriminelle går over til at bruge malware, der miner kryptovaluta frem for ransomware. Med ransomware er du nødt til at få offeret til at betale, men det skal du ikke her,« siger Henrik Larsen.
»Det er formentlig en tendens, der kommer til at fortsætte, for det er svært at regulere, og det er rigtig svært at efterforske. Det bliver nemmere at mine kryptovaluta end noget andet.«
