Хакер #305. Многошаговые SQL-инъекции
Багхантер Нитеш Сурана (Nitesh Surana) обнаружил майнинговую малварь на Jenkins-сервере, принадлежащем Министерству обороны США. Об этом исследователь сообщил через официальную bug bounty программу Минобороны на HackerOne.
Изначально отчет о проблеме касался некорректно настроенного сервера Jenkins, работающего в облаке AWS и связанного с доменом Минобороны. Фактически Сурана предупреждал, что любой желающий может получить доступ к серверу без каких-либо учетных данных и проверок. Более того, доступ был полным, включая файловую систему и даже папку /script, куда загружают файлы, которые сервер Jenkins считывает и автоматически выполняет через заданные промежутки времени. Таким образом атакующий мог бы установить постоянный бэкдор или захватить полный контроль над сервером.
Когда сотрудники Министерства обороны уже устранили проблему, Сурана пересмотрел свои первоначальные выводы. Исследователь понял, что кто-то обнаружил уязвимость раньше него, и уязвимый сервер уже был кем-то взломан. Так, эксперт обнаружил улики, указывающие на присутствие майнинговой малвари, специализирующейся на добыче криптовалюты Monero.
Издание ZDNet сообщает, что адрес кошелька, который использовал ботнет, упоминается в Google десятки раз, начиная с августа 2018 года. Большинство упоминаний – это жалобы китайских пользователей, которые обнаружили майнеры на своих облачных серверах.
Используя сервис XMRHunter, журналисты выяснили, что в настоящее время этот кошелек содержит 35,4 Monero (примерно 2700 долларов США). Однако ботнет мог использовать и другие кошельки для сбора полученных токенов, поэтому оценить эффективность работы малвари таким образом вряд ли возможно.