Nhóm nghiên cứu mối đe dọa bảo mật trên không gian mạng Uptycs vừa phát hiện ra một chủng phần mềm độc hại có phương thức hoạt động khá mới lạ và nguy hiểm. Không chỉ chiếm quyền điều khiển các máy chủ dựa trên nền tảng *nix dễ bị tấn công và sử dụng chúng để khai thác tiền điện tử, mã độc này còn sở hữu khả năng tự can thiệp cũng như sửa đổi cấu hình CPU của máy chủ nhằm tăng hiệu suất khai thác tiền điện tử lên mức tối ưu.
Theo kết quả điều tra sơ bộ, đây là một chủng mã độc dựa trên Golang, chuyên được sử dụng để khai thác các lỗ hổng đã biết như CVE-2020-14882 (Oracle WebLogic) và CVE-2017-11610 (Supervisord) để truy cập vào hệ thống Linux, báo cáo của The Record cho hay. Sau khi chiếm quyền điều khiển của một hệ thống, chúng sẽ sử dụng các model-specific registers (MSR) chuyên biệt để vô hiệu hóa trình cài đặt sẵn phần cứng, một đơn vị có chức năng tìm nạp dữ liệu và truyền từ bộ nhớ vào bộ đệm L2 trước khi chúng cần đến.
Prefetch - Tìm nạp trước tài nguyên - là một kỹ thuật vốn đã được sử dụng trong nhiều năm và có thể giúp tăng hiệu suất trong các tác vụ khác nhau. Tuy nhiên, việc vô hiệu hóa nó lại có thể làm tăng hiệu suất khai thác trong XMRig, phần mềm khai thác tiền ảo mà kẻ gian sử dụng, lên 15%.
Nhưng việc vô hiệu hóa trình cài đặt sẵn phần cứng sẽ làm giảm hiệu suất trong các ứng dụng hợp lệ. Đổi lại, các nhà khai thác máy chủ sẽ phải mua thêm phần cứng để đáp ứng các yêu cầu về hiệu suất của họ, hoặc phải tăng giới hạn năng lượng cho phần cứng hiện có. Trong cả hai trường hợp, tất cả đều làm tăng điện năng tiêu thụ và tốn thêm chi phí.
Theo báo cáo, mạng botnet độc hại này đã được đưa vào khai thác từ ít nhất từ tháng 12 năm 2020, và nhắm mục tiêu chủ yếu tới các lỗ hổng trong MySQL, Tomcat, Oracle WebLogic và Jenkins. Điều này cho thấy rằng nó đủ linh hoạt để tấn công nhiều chương trình khác nhau. Không rõ mức độ lan rộng của các cuộc tấn công này hiện tại ra sao, nhưng có vẻ như chúng đủ phổ biến để các nhà nghiên cứu bảo mật phải dành nhiều sự quan tâm hơn trong thời gian tới.