Onlangs hebben cybersecurity-onderzoekers van TEHTRIS illegale activiteiten ontdekt die samenhangen met cryptojacking op Linux-systemen. De daders hebben banden met Roemenië en zijn waarschijnlijk gelinkt aan een groep die in 2021 door andere beveiligingsonderzoekers is opgespoord. TEHTRIS heeft deze campagne Color1337 genoemd, waarbij 1337 een soort handtekening van de cybercriminelen is.
De strategie van de cybercriminele groep achter deze aanval is erop gericht om het apparaat waartoe ze toegang verkrijgen optimaal te benutten. Als de machine voldoende rekenkracht heeft, zet de aanvaller een miner met de naam "diicot" in die de CPU van de machine gebruikt om cryptocurrencies te mijnen. Als de machine onvoldoende vermogen heeft, downloadt de aanvaller een Tojan met de naam "Update" en gebruikt hij het apparaat om informatie te verzamelen over andere mogelijke doelwitten.
Crypto jacking op Linux-systemen
Het mijnen van cryptocurrency is geen nieuw verschijnsel, maar wel een tactiek die duidelijk aan populariteit wint. Volgens onderzoek van Top10VPN steeg het aantal cryptojacking-incidenten in 2022 tot gemiddeld 15,02 miljoen per maand, tegenover 8,09 miljoen per maand in 2021. Dit vertegenwoordigt een stijging van 86% in één jaar tijd.
De groep cybercriminelen die half januari werd ontdekt door TEHTRIS hanteert twee verschillende strategieën om de toegang tot het gecompromitteerde Linux-systeem maximaal te benutten. Bij de eerste manier, als de machine voldoende capaciteit heeft (meer dan vier cores), wordt de diicot-cryptominer geïnstalleerd om de CPU te gebruiken voor cryptomining. Bij de andere manier, als de machine niet over de vereiste capaciteit beschikt om cryptocurrencies te mijnen, downloadt de aanvaller het uitvoerbare bestand Update en wordt het systeem gebruikt om informatie te verzamelen over mogelijke andere doelwitten.
Discord
De aanvaller gebruikt een Discord-server om data van gecompromitteerde machines te halen. Dit is in lijn met een groeiende trend onder cyberaanvallers om beveiligingslekken te vinden via populaire messaging-apps. Door een geïnfecteerd apparaat te gebruiken om dit soort informatie te verzamelen, kan de aanvaller de exploratiefase verspreiden over meerdere machines en IP-adressen, waardoor het moeilijk wordt om de oorspronkelijke bron van de aanval te traceren.
Banden met Roemenië
De groep aanvallers verwijst naar zichzelf als ThePatron1337, waarbij 1337 een terugkerende factor is in de aanval. Om deze redenen heeft TEHTRIS deze campagne Color1337 genoemd, waarbij 1337 wordt gezien als handtekening van de cybercriminelen. Het is het nummer van de poort die de groep gebruikt om data te verzamelen van de gecompromitteerde machines, maar ook de kleurcode die wordt gebruikt voor de berichten op Discord.
Verder bevatten de geanalyseerde bash-scripts commando's in de Roemeense taal, wat aangeeft waar de actor die het script heeft geschreven vandaan komt. Zo is het opvallend dat DIICOT (de naam van de miner die in oktober 2022 voor het eerst werd ontdekt) ironisch genoeg ook een afkorting is van een Roemeens bureau dat onderzoek doet naar georganiseerde misdaad, cybercriminaliteit, financiële criminaliteit en terrorisme.
Naast de toevalligheden die de cyberaanval aan Roemenië koppelen, hebben TEHTRIS-experts bepaalde overeenkomsten ontdekt met de Roemeense groep achter een cryptojacking-campagne die in 2021 door BitDefender werd opgespoord. Aangezien het "Update"-script verwijst naar een bestand met dezelfde naam, in combinatie met de eerder vastgestelde link naar Roemenië, zou het kunnen dat dezelfde groep achter deze aanval zit en zijn tools heeft bijgewerkt.
"Deze aanvalscampagne herinnert ons er opnieuw aan dat cyberaanvallers massaal misbruik maken van inloggegevens. Omdat messaging-apps zoals Discord of Telegram erg populair zijn, worden ze bovendien vaak over het hoofd gezien door bedrijven die de koppelingen met deze legitieme diensten niet monitoren. Hierdoor is de kans groter dat aanvallen zich verspreiden zonder te worden gestopt", zegt Laurent Oudot, medeoprichter en CTO van TEHTRIS.