Η RDP ευπάθεια BlueKeep στο Windows Remote Desktop Services χρησιμοποιείται αυτή τη στιγμή από hackers για cryptomining σκοπούς. Οι επιτιθέμενοι εκμεταλλεύονται ευάλωτα συστήματα για να κλέψουν cryptocurrencies.
Οι προσπάθειες επίθεσης παρατηρήθηκαν μέσω honeypots. Ο ερευνητής ασφάλειας, που ανακάλυψε τις απόπειρες, είναι ο Kevin Beaumont. Ο ερευνητής παρατήρησε ότι πολλά honeypots του EternalPot RDP honeypot δικτύου του άρχισαν να «κρασάρουν» και να κάνουν επανεκκίνηση. Τα honeypots ήταν ενεργά για περίπου μισό χρόνο. Το Σάββατο ήταν η πρώτη φορά που παρατηρήθηκε δυσλειτουργία. Ωστόσο, ο Beaumont παρατήρησε ότι τα μηχανήματα στην Αυστραλία δεν «κράσαραν».
Ο ερευνητής MalwareTech (διαδικτυακό όνομα) εξέτασε τα θέματα που ανέφερε ο Beaumont και κατέληξε στο ότι το «κρασάρισμα» οφείλεται στην ευπάθεια BlueKeep. Ο MalwareTech είπε ότι οι επιτιθέμενοι χρησιμοποίησαν την ευπάθεια BlueKeep με στόχο την εγκατάσταση ενός Monero Miner.
Η πρώτη ανάλυση του MalwareTech έδειξε ότι ένα αρχικό payload εκτελεί μια κωδικοποιημένη PowerShell εντολή, που κατεβάζει ένα δεύτερο κωδικοποιημένο PowerShell script. Το τελικό payload είναι ένα cryptominer (πιθανότατα για το Monero).
Σύμφωνα με τον ερευνητή, το κακόβουλο λογισμικό δεν είναι worm, αλλά εκμεταλλεύεται μαζικά την ευπάθεια BlueKeep. Έτσι, ο ερευνητής κατάλαβε ότι οι επιτιθέμενοι χρησιμοποιούν μάλλον έναν σαρωτή BlueKeep, ο οποίος τους βοηθά να εντοπίσουν τα ευάλωτα συστήματα, ώστε να εγκαταστήσουν το cryptominer.
Ο ερευνητής είπε, επίσης, ότι ο server που χρησιμοποιείται για την εκμετάλλευση της ευπάθειας παίρνει τις IP διευθύνσεις του στόχου από μια προκαθορισμένη λίστα.
Ένας συνδυασμός cryptominer και σαρωτή BlueKeep είχε αναφερθεί και τον Ιούλιο. Το κακόβουλο λογισμικό, που συνδύαζε αυτά τα δύο χαρακτηριστικά, ονομάστηκε Watchbog και στόχευε κυρίως Linux servers.
Η εταιρεία Intezer είχε μελετήσει, τότε, το κακόβουλο λογισμικό και είχε διαπιστώσει ότι η ενσωμάτωση του σαρωτή «υποδηλώνει ότι το WatchBog ετοιμάζει μια λίστα ευάλωτων συστημάτων, τα οποία οι hackers θα στοχεύουν στο μέλλον ή θα τα πουλήσουν σε άλλους».
Ωστόσο, σύμφωνα με τον MalwareTech, οι τωρινές επιθέσεις δεν σχετίζονται με το κακόβουλο λογισμικό Watchbog.
BlueKeep: Σύντομο ιστορικό της ευπάθειας
Η ευπάθεια BlueKeep (CVE-2019-0708) έκανε την εμφάνισή της πριν από πολλούς μήνες. Οι ειδικοί ασφαλείας την αξιολόγησαν ως κρίσιμη, καθώς επιτρέπει τη διάδοση κακόβουλου λογισμικού σε ευάλωτα συστήματα χωρίς παρέμβαση χρήστη. Πολλές κυβερνήσεις και εταιρείες ασφαλείας άρχισαν να προειδοποιούν για την κρισιμότητα της ευπάθειας κι έτσι η Microsoft κυκλοφόρησε ένα patch στις 14 Μαΐου.
Συνήθως, η εκμετάλλευση αυτής της RDP ευπάθειας καταλήγει σε «κρασάρισμα» του συστήματος στόχου. Οι ερευνητές, που δημιούργησαν ένα working exploit, προσπάθησαν να κρατήσουν μυστικές τις λεπτομέρειες, ώστε να μην μπορέσουν οι hackers να φτιάξουν άμεσα μια δική τους έκδοση και να εκμεταλλευτούν τα μη ενημερωμένα συστήματα.
Ποιες εκδόσεις των Windows επηρεάζονται;
Ευτυχώς, η BlueKeep ευπάθεια δεν επηρεάζει όλες τις εκδόσεις των Windows. Σύμφωνα με τη Microsoft, οι hackers μπορούν να επηρεάσουν τα Windows 7, Windows Server 2008 R2 και Windows Server 2008 και να εγκαταστήσουν cryptominer.
