Trước đây, một lỗ hổng thực thi đoạn mã từ xa 7 năm tuổi trong hệ thống phần mềm Samba (thực thi thông qua giao thức mạng SMB) và cho phép hacker toàn quyền kiểm soát máy tính Linux và Unix từ xa đã được thông báo. Để biết chi tiết hơn về lỗ hổng này (CVE-2017-7497) và cách thức hoạt động của nó, hãy đọc bài viết này.
Vào thời điểm đó, gần 485.000 máy tính của sử dụng Samba có khả năng lây nhiễm trên Internet và các nhà nghiên cứu đã dự đoán rằng vụ tấn công bằng SambaCry có khả năng phát tán rộng rãi như ransomware WannaCry đã làm trước đây.
Dự đoán này khá chính xác khi một honeypot (tạm dịch bẫy mật ong, một hệ thống tài nguyên thông tin giả dạng nhằm đánh lừa và ngăn không cho tiếp xúc hệ thống thật) được một nhóm nghiên cứu ở Kaspersky Lab đã phát hiện một chiến dịch malware khai thác lỗ hổng SambaCry để lây nhiễm lên các máy tính Linux với hệ thống cryptocurrency (hệ thống mã hóa để chuyển hóa dữ liệu). Một nhà nghiên cứu an ninh mạng khác, Omri Ben Bassat, cũng đã độc lập nghiên cứu và phát hiện ra một chiến dịch tương tự có tên EternalMiner.
Theo các nhà nghiên cứu, nhóm hacker chưa rõ danh tính này đã bắt đầu tấn công các máy tính Linux chỉ một tuần sau khi lỗ hổng Samba được công bố ra công chúng và cài đặt bản cập nhật của CPUminer, một phần mềm đào mỏ cryptocurrency để đào tiền kỹ thuật số Monero (XMR).
Sau khi xâm nhập máy tính bằng lỗ hổng SambaCry, kẻ tấn công sẽ thực hiện 2 payload trên máy nạn nhân:
- INAebsGB.so - một đoạn mã đảo ngược (reverse shell) mang đến khả năng điều khiển từ xa cho kẻ tấn công.
- cblRWuoCc.so - một cửa sau bao gồm công cụ đào mỏ cryptocurrency CPUminer.
"Dù đoạn mã đảo ngược vẫn nằm trong hệ thống, kẻ tấn công có thể thay đổi cấu hình của công cụ đào mỏ đang chạy hoặc ảnh hưởng tới máy nạn nhân bằng những loại malware khác", các nhà nghiên cứu tại Kaspersky cho hay. Đào mỏ bằng cryptocurrency có thể tốn kém bởi nó yêu cầu lượng tài nguyên tính toán lớn nhưng malware kiểu này lại dễ hơn tội phạm mạng bởi nó cho phép sử dụng tài nguyên của máy bị tấn công để kiếm lời.
Có thể bạn cũng biết tới Adylkuzz, malware đào mỏ sử dụng lỗ hổng SMB trên Windows ít nhất 2 tuần trước vụ tấn công của WannaCry. Malware Adylkuzz cũng đào Monero bằng việc sử dụng nguồn tài nguyên tính toán lớn trên máy Windows bị tấn công.
Máy bị tấn công sẽ tiêu tốn nhiều tài nguyên tính toán
Những kẻ tấn công đứng sau SambaCry CPUminer đã kiếm được 98 XMR, ngày nay tương đương $5380 và con số này sẽ còn tăng khi số máy Linux bị nhiễm độc ngày càng tăng. "Trong ngày đầu tiên, chúng kiếm được khoảng 1 XMR (tương đương $55 theo tỉ giá vào ngày 8/6/2017) nhưng trong tuần trước, chúng đã kiếm được 5 XMR một ngày", các nhà nghiên cứu cho hay.
Samba đã vá lỗi trong các phiên bản mới 4.6.4/4.5.10/4.4.14 và khuyến cáo những ai dùng bản Samba không an toàn nên vá sớm nhất có thể.