Специалисты компании Uptycs, занимающейся облачной безопасностью, обнаружили майнинговый ботнет, который изменяет конфигурации ЦП на взломанных Linux-серверах, чтобы повысить их производительность.
Эксперты пишут, что это первый известный им случай, когда злоумышленники изменяют MSR процессора, чтобы отключить функцию Hardware Prefetcher. Эта функция активна по умолчанию на большинстве процессоров, она позволяет ЦП загружать в кэш-память данные для операций, которые могут потребоваться в ближайшем будущем. В случае если процессор выполняет повторяющиеся вычисления, Hardware Prefetcher может помочь повысить производительность.
В июне 2021 года исследователи обнаружили ботнет, который атаковал Linux-серверы, используя уязвимости CVE-2020-14882 и CVE-2017-11610 для получения доступа к системам под управлением Oracle WebLogic и Supervisord. Затем он загружал драйвер MSR для Linux и отключал на взломанных машинах Hardware Prefetcher перед установкой майнера XMRig.
Судя по всему, злоумышленники придумали отключать Hardware Prefetcher после прочтения официальной документации XMRig, в которой утверждается, что при отключении этой функциональности XMRig может работать быстрее на 15%.
По данным компании, этот ботнет активен по крайней мере с декабря 2020 года и ранее он атаковал серверы MySQL, Tomcat, Oracle WebLogic и Jenkins.
