Les mineurs de cryptodevises reviennent à la charge (et pas dans la nuance)

Fut un temps, ils étaient pressentis pour occulter les ransomwares, avant que ceux-ci ne reviennent agressivement sur le devant de la scène. Mais les maliciels détournant des ressources de calcul pour miner des cryptodeniers n’ont pas disparu. Le cryptojacking recommence à faire parler de lui, rappelant la réalité de la menace.

Durant l’été 2018, Zscaler alertait ainsi sur des sites Web frauduleux, prétendant protéger contre le cryptojacking pour en fait… distribuer des maliciels dédiés à cette pratique. Mais à l’automne dernier, Cyberbit assurait avoir découvert un tel logiciel malveillant installé sur « plus de 50 % des postes de travail » d’un aéroport international européen, à l’occasion d’un déploiement de sa solution d’EDR. Un maliciel découvert plus d’un an plus tôt par Zscaler.

Plus récemment, début mai, Red Canary s’est penché sur Blue Monckingbird, une menace de type cryptojacking affectant Windows et impliquant le minage de Monero. Ce sont les serveurs Microsoft IIS qui sont visés, via une vulnérabilité dans Telerik UI. La charge utile finale n’est autre qu’une version de l’outil open source XMRIG. Mais ce n’est pas tout.

Avant la mi-mai, des attaquants s’en sont pris à plusieurs supercalculateurs académiques européens, membres de la European Grid Infrastructure (EGI). Dans une note d’information, le centre de réponse aux incidents de cybersécurité de l’EGI explique qu’un « groupe malicieux a visé les centres de calcul académiques pour détourner leurs ressources CPU à des fins de minage. L’attaquant saute d’une victime à l’autre en utilisant des identifiants SSH compromis ».

Là encore, c’est là production de “crypto-gros-sous” Monero qui était visée. Plusieurs techniques pour « cacher les activités malicieuses » ont été observées, « dont un module de noyau Linux malicieux », Diamorphine. Le logiciel de minage de Monero n’était exécuté que la nuit pour réduire le risque de détection. Le supercalculateur du Leibniz Supercumpting Centre de la banlieue de Munich a été touché, mais aussi les supercalculateurs Hawk de Francfort, deux autres à l’institut de technologie de Karlsruhe, ou encore le Nemo de Freiburg et Archer en Écosse, entre autres.

En fait, c’est l’ensemble du réseau PRACE – Partnership for Advanced Computing in Europe, qui rassemble 26 centres de calcul à hautes performances sur le Vieux Continent et au-delà – qui semble avoir été compromis, avec comme points d’entrée initiaux des systèmes universitaires en Amérique du Nord, en Chine, et en Pologne. Le 20 mai, les nœuds de gestion des accès d’Archer étaient encore en reconstruction. Le contrôle d’accès a été au passage renforcé, avec clé SSH doublée d’un mot de passe de compte utilisateur. Ces éléments d’authentification ont dû être réinitialisés. Des règles Yara et des indicateurs de compromission ont été consolidés sur l’OTW d’AlienVault.