El cazador de errores encuentra la botnet de minería de criptomonedas en la purple DOD


minería de criptomonedas

Imagen: Dmitry Moraine

Un investigador de seguridad que buscaba recompensas de errores descubrió el mes pasado que una botnet de minería de criptomonedas había encontrado un hogar y enterrado dentro de un servidor world-wide-web operado por el Departamento de Defensa de los Estados Unidos (DOD).

El problema fue descubierto y reportado a través del programa oficial de recompensas de errores del DOD por el investigador de seguridad indio Nitesh Surana.

Inicialmente, el informe de mistake se archivó en relación con una configuración incorrecta Servidor de automatización Jenkins ejecutándose en un servidor de Amazon Website Services (AWS) asociado con un dominio DOD.

Surana descubrió que cualquiera podía acceder al servidor Jenkins sin credenciales de inicio de sesión.

Aparentemente, el acceso completo period posible, incluso al sistema de archivos. Surana dice que la carpeta / script, parte de la instalación de Jenkins, también estaba abierta para cualquiera.

Esta carpeta es donde los usuarios cargan archivos que el servidor Jenkins lee y ejecuta automáticamente a intervalos regulares.

Surana informó al Departamento de Defensa que un atacante podría cargar archivos maliciosos dentro de esta carpeta e instalar una puerta trasera permanente o hacerse cargo de todo el servidor.

Servidor ya hackeado antes del informe del investigador

El DOD aseguró el servidor vulnerable, pero al revisar sus hallazgos, Surana también se dio cuenta de que el servidor Jenkins ya había sido comprometido incluso antes de encontrarlo.

El investigador dijo que rastreó las pistas que encontró sobre una operación de malware especializada en hackear servidores en la nube e instalar malware Monero-mining.

ZDNet buscó la dirección de la billetera de Monero que esta botnet estaba usando para recaudar fondos. Resultados de Google muestra decenas de menciones de esta dirección desde agosto de 2018.

La mayoría de las menciones son de usuarios chinos, que informaron haber encontrado un minero Monero en sus servidores en la nube (1, 2, 3, 4 4, 5 5, 6 6)

Usando el servicio XMRHunter, descubrimos que la dirección de Monero actualmente tiene 35.4 monedas de Monero, con un valor de poco más de $ 2.700. Sin embargo, los fondos anteriores podrían haberse retirado a otras cuentas a intervalos regulares, por lo que no podemos estimar con precisión la operación de esta botnet solo en esta dirección.

DOD ejecuta un programa de recompensas de errores en HackerOne

Surana informó sus hallazgos a través del Programa oficial de recompensas de errores del DOD, alojado en la plataforma HackerOne.

El DOD ha estado ejecutando un programa de recompensas de errores durante años.

La unidad de búsqueda de errores DOD más reciente finalizó el mes pasado, durante el cual el departamento pagó $ 275,000 a investigadores de seguridad por su trabajo en la búsqueda de errores en los servidores internet relacionados con el Ejército de EE. UU.

Debido a la naturaleza sensible de la infraestructura DOD, el informe de Surana fue redactado para eliminar el nombre y la URL del servidor DOD que se vio comprometido por la botnet de extracción de monedas. El investigador le dijo a ZDNet que no se le otorgó una recompensa por su informe, pero este fue uno de los raros casos en que los hallazgos de un investigador se hicieron públicos.





Enlace a la noticia original