در حالی که زمان زیادی از عمومیشدن آسیبپذیری Log4J نمیگذرد، هکرها راهی برای بهرهگیری از این آسیبپذیری حیاتی جاوا برای سودجویی یافتهاند. یک باند هکری ناشناخته با اکسپلویت این آسیبپذیری توانسته کنترل سرورهای AMD 9000 EPYC شرکت اچپی را به دست بگیرد و با استفاده از سختافزار قدرتمند این سرورها اقدام به ماینکردن رمزارز کرده است. رمزارز انتخابی این باند رمزارز Raptoreum (RTM) بوده است و این امر باعث شده نرخ هش (Hash Rate) بلاکچین این رمزارز از 200 MH/s به 400 MH/s افزایش یابد، و این افزایش تا زمانی که سرورهای اکسپلویتشده خاموش شدند ادامه داشته است.
آسیبپذیری Log4J یک آسیبپذیری جاوا است که که اخیرا وجود آن در مجموعه ابزارهای Apache افشا شده است و در رتبهبندی CVSS 3.0، بالاترین نمره تهدید یعنی نمره 10 را دریافت کرده است. این نمرهی بالا به این علت بوده است که اکسپلویت این آسیبپذیری به هیچگونه دسترسی فیزیکی نیاز ندارد و با استفاده از آن میتوان دسترسیها را تا حدی بالا برد که سیستم قربانی به سرور تحت کنترل هکر متصل شود، بدافزار مورد نظر هکر را دانلود و سپس آن را اجرا کند. تعداد زیادی از شرکتهای ارائهدهنده خدمات نرمافزاری این آسیبپذیری را پچ کردهاند، ولی سرورهای EPYC 9000 شرکت اچپی هنوز این آسیبپذیری را پچ نکرده بودند.
به نظر میرسد تنها هدف هکرها از هدف قراردادن سرورهای EPYC شرکت HP، استخراج رمزارز Raptoreum بوده است؛ رمزارزی که مانند بسیاری از رمزارزهای رایج امروزی بر اساس مدل Proof-of-Work یا PoW و با الگوریتم هش GhostRider کار میکند. این الگوریتم، ترکیبی از الگوریتمهای x16r و CryptoNight است و با پردازندههای AMD که با طراحی Zen ساخته شدهاند و حافظه کش فراوانی دارند، سازگاری زیادی دارد؛ برای مقایسه در نظر بگیرید که مدلهای پرطرفدار Ryzen 9 5900X (12 هستهای) و 5950X (16 هستهای) هر دو مجهز به 64 مگابایت حافظه کش L3 هستند، در حالی که پردازندههای EPYC Milan شرکت AMD که با طراحی Zen 3 ساخته شدهاند، دو برابر این دو مدل یعنی 128 مگابایت کش دارند، که باعث میشود قدرت بیشتری در استخراج این رمزارز داشته باشند و اهداف سودزایی برای هکرها باشند. پردازندههای Milan-X EPYC شرکت AMD که قرار است در سهماهه دوم سال 2022 وارد بازار شوند، به لطف استفاده از فناوری 3D V-Cache مجهز به مقدار باورنکردنی 768 مگابایت کش L3 خواهند بود؛ نرخ هشی که این پردازندهها قادر به ارائه آن خواهند بود از تصور خارج است.
توسعهدهندگان Raptoreum اولین بار در روز نهم دسامبر (18 آذر) متوجه یک افزایش ناگهانی در نرخ هش بلاکچین این رمزارز شدند. با وجود این که تعداد دستگاههای فعال در بلاکچین Raptoreum به طور پیوسته در حال افزایش بوده است، این پرش ناگهانی در قدرت پردازشی در نهم دسامبر که نرخ هش متوسط این شبکه را از 200 MH/s به 400 MH/s، یعنی دقیقا دو برابر افزایش داد، به هیچوجه معمولی نبود، به خصوص به این خاطر که تمام این افزایش از یک آدرس والت ناشی میشد.
یکی از توسعهدهندگان رمزارز Raptoreum در یک بیانیه خبری، اینگونه توضیح داده است:
« حین حمله، بسیاری از سرورها دچار نفوذ شده بودند، سرورهایی با تجهیزات بسیار ردهبالا که هرکدام توانایی ارائه مقدار زیادی قدرت پردازش هش داشتند. تعداد کمی سازمان در دنیا به چنین سختافزارهای قدرتمندی دسترسی دارند، و از این مساله میشد نتیجه گرفت که احتمال این که این حمله توسط سختافزار شخصی یک فرد انجام شده باشد خیلی پایین است. نتایج تحقیقات خصوصی انجامگرفته نشان میدهد که به احتمال زیاد، سختافزار سرورهای 9000 EPYC شرکت HP برای ماینکردن کوینهای Raptoreum استفاده شده است.»
او در ادامه این بیانیه گفته است:
«یافتههای ما نشان میدهد که ماینرها همگی از نامهای مستعار شرکت HP استفاده میکردهاند و همگی به صورت ناگهانی متوقف شدهاند که همین مساله حدس ما مبنی بر نفوذ سازمانی و به تبع آن پچ سرورها را تقویت میکند. ماینینگ Raptoreum با اکسپلویت Log4J در روز 9 دسامبر آغاز شد و تا 17 دسامبر که بخش عمدهای از آن متوقف شد، ادامه یافت. حین این مدت هکرها توانستهاند تقریبا 30 درصد از کل Block Reward بلاکچین این رمزارز را جمعآوری کنند که تقریبا معادل 3.4 میلیون Raptoreum، به ارزش 110 هزار دلار (در روز 21 دسامبر) ارزش دارد. اگرچه فعالیت این والت به طور قابل ملاحظهای کاهش یافته است، هنوز به طور فعال مشغول ماینکردن است که به نظر میرسد به خاطر این بوده که یکی از سرورها پچ نشده است.»
از 3.4 میلیون توکن Raptoreum که در والت بوده است، هکرها توانستهاند 1.5 میلیون توکن را خارج کرده و از طریق سرویس مبادله CoinEx نقد کنند. 1.7 میلیون توکن باقیمانده در والت رها شده است؛ احتمالا به این دلیل که هکرها منتظرند قیمت آنها بیشتر شود تا در آینده با سود بیشتری آنها را به فروش برسانند. نکتهی جالب این است که قیمت Raptoreum در اثر تغییرات ناگهانی موجود این والت دستخوش تغییر نشده است، با وجود این که این والت جزو 20 والتی بوده است که بیش از 3.4 میلیون RTM در آنها قرار داشته است.
منبع: tomshardware.com
