هک‌شدن سرورهای HP و استخراج ۱۰۰ هزار دلار رمزارز توسط هکرها

هک HP برای ماینینگ

در حالی که زمان زیادی از عمومی‌شدن آسیب‌پذیری Log4J نمی‌گذرد، هکرها راهی برای بهره‌گیری از این آسیب‌پذیری حیاتی جاوا برای سودجویی یافته‌اند. یک باند هکری ناشناخته با اکسپلویت این آسیب‌پذیری توانسته کنترل سرورهای AMD 9000 EPYC شرکت اچ‌پی را به دست بگیرد و با استفاده از سخت‌افزار قدرتمند این سرورها اقدام به ماین‌کردن رمزارز کرده است. رمزارز انتخابی این باند رمزارز Raptoreum (RTM) بوده است و این امر باعث شده نرخ هش (Hash Rate) بلاک‌چین این رمزارز از 200 MH/s به 400 MH/s افزایش یابد، و این افزایش تا زمانی که سرورهای اکسپلویت‌شده خاموش شدند ادامه داشته است.

آسیب‌پذیری Log4J یک آسیب‌پذیری جاوا است که که اخیرا وجود آن در مجموعه ابزارهای Apache افشا شده است و در رتبه‌بندی CVSS 3.0، بالاترین نمره تهدید یعنی نمره 10 را دریافت کرده است. این نمره‌ی بالا به این علت بوده است که اکسپلویت این آسیب‌پذیری به هیچ‌گونه دسترسی فیزیکی نیاز ندارد و با استفاده از آن می‌توان دسترسی‌ها را تا حدی بالا برد که سیستم قربانی به سرور تحت کنترل هکر متصل شود، بدافزار مورد نظر هکر را دانلود و سپس آن را اجرا کند. تعداد زیادی از شرکت‌های ارائه‌دهنده خدمات نرم‌افزاری این آسیب‌پذیری را پچ کرده‌اند، ولی سرورهای EPYC 9000 شرکت اچ‌پی هنوز این آسیب‌پذیری را پچ نکرده بودند.

آسیب‌پذیری Log4J

به نظر می‌رسد تنها هدف هکرها از هدف قراردادن سرورهای EPYC شرکت HP، استخراج رمزارز Raptoreum بوده است؛ رمزارزی که مانند بسیاری از رمزارزهای رایج امروزی بر اساس مدل Proof-of-Work یا PoW و با الگوریتم هش GhostRider کار می‌کند. این الگوریتم، ترکیبی از الگوریتم‌های x16r و CryptoNight است و با پردازنده‌های AMD که با طراحی Zen ساخته شده‌اند و حافظه کش فراوانی دارند، سازگاری زیادی دارد؛ برای مقایسه در نظر بگیرید که مدل‌های پرطرفدار Ryzen 9 5900X (12 هسته‌ای) و 5950X (16 هسته‌ای) هر دو مجهز به 64 مگابایت حافظه کش L3 هستند، در حالی که پردازنده‌های EPYC Milan  شرکت AMD که با طراحی Zen 3 ساخته شده‌اند، دو برابر این دو مدل یعنی 128 مگابایت کش دارند، که باعث می‌شود قدرت بیشتری در استخراج این رمزارز داشته باشند و اهداف سودزایی برای هکرها باشند. پردازنده‌های Milan-X EPYC شرکت AMD که قرار است در سه‌ماهه دوم سال 2022 وارد بازار شوند، به لطف استفاده از فناوری 3D V-Cache مجهز به مقدار باورنکردنی 768 مگابایت کش L3 خواهند بود؛ نرخ هشی که این پردازنده‌ها قادر به ارائه آن خواهند بود از تصور خارج است.

معماری پردازنده Zen

توسعه‌دهندگان Raptoreum اولین بار در روز نهم دسامبر (18 آذر) متوجه یک افزایش ناگهانی در نرخ هش بلاک‌چین این رمزارز شدند. با وجود این که تعداد دستگاه‌های فعال در بلاک‌چین Raptoreum به طور پیوسته در حال افزایش بوده است، این پرش ناگهانی در قدرت پردازشی در نهم دسامبر که نرخ هش متوسط این شبکه را از 200 MH/s به 400 MH/s، یعنی دقیقا دو برابر افزایش داد، به هیچ‌وجه معمولی نبود، به خصوص به این خاطر که تمام این افزایش از یک آدرس والت ناشی می‌‎شد.

یکی از توسعه‌دهندگان رمزارز Raptoreum در یک بیانیه خبری، این‌گونه توضیح داده است:

« حین حمله، بسیاری از سرورها دچار نفوذ شده بودند، سرورهایی با تجهیزات بسیار رده‌بالا که هرکدام توانایی ارائه مقدار زیادی قدرت پردازش هش داشتند. تعداد کمی سازمان در دنیا به چنین سخت‌افزارهای قدرتمندی دسترسی دارند، و از این مساله می‌شد نتیجه گرفت که احتمال این که این حمله توسط سخت‌افزار شخصی یک فرد انجام شده باشد خیلی پایین است. نتایج تحقیقات خصوصی انجام‌گرفته نشان می‌دهد که به احتمال زیاد، سخت‌‎افزار سرورهای 9000 EPYC شرکت HP برای ماین‌کردن کوین‌های Raptoreum استفاده شده است.»

او در ادامه این بیانیه گفته است:

«یافته‌های ما نشان می‌دهد که ماینرها همگی از نام‌های مستعار شرکت HP استفاده می‌کرده‌اند و همگی به صورت ناگهانی متوقف شده‌اند که همین مساله حدس ما مبنی بر نفوذ سازمانی و به تبع آن پچ سرورها را تقویت می‌کند. ماینینگ Raptoreum با اکسپلویت Log4J در روز 9 دسامبر آغاز شد و تا 17 دسامبر که بخش عمده‌ای از آن متوقف شد، ادامه یافت. حین این مدت هکرها توانسته‌اند تقریبا 30 درصد از کل Block Reward بلاک‌چین این رمزارز را جمع‌آوری کنند که تقریبا معادل 3.4 میلیون Raptoreum، به ارزش 110 هزار دلار (در روز 21 دسامبر) ارزش دارد. اگرچه فعالیت این والت به طور قابل ملاحظه‌ای کاهش یافته است، هنوز به طور فعال مشغول ماین‌کردن است که به نظر می‌رسد به خاطر این بوده که یکی از سرورها پچ نشده است.»

از 3.4 میلیون توکن Raptoreum که در والت بوده است، هکرها توانسته‌اند 1.5 میلیون توکن را خارج کرده و از طریق سرویس مبادله CoinEx نقد کنند. 1.7 میلیون توکن باقی‌مانده در والت رها شده است؛ احتمالا به این دلیل که هکرها منتظرند قیمت آن‌ها بیشتر شود تا در آینده با سود بیشتری آن‌ها را به فروش برسانند. نکته‌ی جالب این است که قیمت Raptoreum در اثر تغییرات ناگهانی موجود این والت دستخوش تغییر نشده است، با وجود این که این والت جزو 20 والتی بوده است که بیش از 3.4 میلیون RTM در آن‌ها قرار داشته است.

منبع: tomshardware.com

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.