- Специальный корреспондент
Программу для скрытого майнинга самой криминализированной криптовалюты Monero злоумышленники внедряют через популярный торрент-клиент qBitTorrent, который позиционируется разработчиками как свободная альтернатива проприетарному uTorrent. Для этого не требуется выискивать какие-либо уязвимости в ПО, достаточно найти пользователя торрент-клиента, который халатно отнесся к первоначальной конфигурации программы.
Злоумышленники научились использовать популярный торрент-клиент qBitTorrent для тайного внедрения инструментов добычи криптовалюты Monero, пишет TorrentFreak.
Monero – криптовалюта на основе протокола CryptoNote, ориентированная на повышенную конфиденциальность транзакций. Она репутацию самой криминальной криптовалюты, поскольку присущая транзацкиям с ее использованием анонимность позволяет преступникам сранвительно безопасно получать оплату за нелегальные товары.
Один из столкнувшихся с угрозой – пользователь GitHub под псевдонимом g0dsha – спустя месяц после установки qBitTorrent обратил внимание на то, что qBitTorrent потребляет слишком много системных ресурсов и чрезмерно нагружает центральный процессор. Внимательно изучив активные процессы в системе, g0dsha обнаружил среди них работающий в фоновом режиме инструмент майнинга xmrig.
Решив, что нежелательное ПО он мог получить только вместе с qBitTorrent или сценарием для его упрощенной установки, озадаченный g0dsha посредством GitHub обратился к автору проекта Proxmox VE Helper Scripts, при помощи которого первоначально и был развернут торрент-клиент на компьютере, который впоследствии стал частью сети майнеров Monero.
Proxmox VE (Virtual Environment) – система виртуализации с открытым исходным кодом, построенная на базе Linux-дистрибутива Debian. Поддерживает контейнеризацию на основе LXC или полную виртуализацию с использованием гипервизора KVM.
Сторонним разработчиком с никнеймом tteck на GitHub ведется работа над набором «скриптов-помощников», которые позволяют быстро и легко устанавливать ПО в Proxmox VE с использованием LXC-контейнеров даже новичкам, не имеющим опыта работы с системой.
Небольшое совместное расследование, проведенное g0dsha и tteck, показало, что ни скрипты для упрощенной установки ПО в виде контейнеров, ни разработчики qBitTorrent не имеют непосредственного отношения к внедрению майнингового ПО Monero на компьютеры пользователей. Всему виной – неправильная настройка торрент-клиента конечным пользователем.
Управление qBittorrent осуществляется в том числе при помощи веб-интерфейса, получить доступ к которому можно посредством любого браузера. По умолчанию для обмена данными qBittorrent использует порт 8080, а также UPnP (Universal Plug and Play) для программного перенаправления портов, благодаря чему у пользователя имеется возможность удаленно контролировать работу торрент-клиента через интернет.
Пользователь qBittorrent также имеет возможность защитить программу от вмешательства в ее работу со стороны посторонних лиц при помощи пароля. Однако торрент-клиент в процессе его настройки настаивать на задании уникального и надежного пароля не будет. В описанном TorrentFreak случае пользователь решил не менять указанную по умолчанию стандартную пару логин-пароль – “admin” и “adminadmin” соответственно, что позволило злоумышленнику получить беспрепятственный доступ веб-интерфейсу программы.
qBittorrent располагает некоторыми базовыми функциями автоматизации процедур, связанных с загрузкой и организацией скачанных файлов, и, в частности, позволяет запускать внешние программы набором параметров командной строки в момент начала или завершения закачки торрент-файла.
Подобная функциональность предоставляет потенциальному злоумышленнику массу возможностей по внедрению вредоносного ПО на машину жертвы. В данном конкретном случае получивший доступ к незащищенному паролем веб-интерфейсу хакер настроил qBittorrent на выполнение простого скрипта, который затем подтянул более сложный сценарий на языке bash, в свою очередь развертывающий среду для добычи криптовалюты Monero – xmrig в составе пула C3Pool и корректирующий некоторые параметры системы для оптимизации производительности майнинга.
Как отмечает TorentFreak, избежать проникновения нежеланного майнера в компьютер g0dsha можно было очень просто. Во-первых, следовало отключить UPnP в настройках маршрутизатора, к которому была подключена машина с установленным qBitTorrent. Во-вторых, не стоило использовать пароль, предлагаемый программой по умолчанию.
qBitTorrent – это свободный кроссплатформенный клиент файлообменной сети BitTorrent, автором и основным разработчиком которого с 2006 г. является Кристоф Дюме (Christophe Dumez).
Разработчики qBitTorrent позиционируют свой продукт в качестве свободной альтернативы популярнейшему торрент-клиенту uTorrent.
Код торрент-клиента написан на языке программирования C++ и распространяется на условиях лицензии GPLv2+. Основной графический интерфейс программы реализован с использованием библиотеки Qt, веб-интерфейс базируется на Ajax.
Внедрение майнера через qBitTorrent
Злоумышленники научились использовать популярный торрент-клиент qBitTorrent для тайного внедрения инструментов добычи криптовалюты Monero, пишет TorrentFreak.
Monero – криптовалюта на основе протокола CryptoNote, ориентированная на повышенную конфиденциальность транзакций. Она репутацию самой криминальной криптовалюты, поскольку присущая транзацкиям с ее использованием анонимность позволяет преступникам сранвительно безопасно получать оплату за нелегальные товары.
Один из столкнувшихся с угрозой – пользователь GitHub под псевдонимом g0dsha – спустя месяц после установки qBitTorrent обратил внимание на то, что qBitTorrent потребляет слишком много системных ресурсов и чрезмерно нагружает центральный процессор. Внимательно изучив активные процессы в системе, g0dsha обнаружил среди них работающий в фоновом режиме инструмент майнинга xmrig.
Решив, что нежелательное ПО он мог получить только вместе с qBitTorrent или сценарием для его упрощенной установки, озадаченный g0dsha посредством GitHub обратился к автору проекта Proxmox VE Helper Scripts, при помощи которого первоначально и был развернут торрент-клиент на компьютере, который впоследствии стал частью сети майнеров Monero.
Proxmox VE (Virtual Environment) – система виртуализации с открытым исходным кодом, построенная на базе Linux-дистрибутива Debian. Поддерживает контейнеризацию на основе LXC или полную виртуализацию с использованием гипервизора KVM.
Сторонним разработчиком с никнеймом tteck на GitHub ведется работа над набором «скриптов-помощников», которые позволяют быстро и легко устанавливать ПО в Proxmox VE с использованием LXC-контейнеров даже новичкам, не имеющим опыта работы с системой.
Что случилось на самом деле
Небольшое совместное расследование, проведенное g0dsha и tteck, показало, что ни скрипты для упрощенной установки ПО в виде контейнеров, ни разработчики qBitTorrent не имеют непосредственного отношения к внедрению майнингового ПО Monero на компьютеры пользователей. Всему виной – неправильная настройка торрент-клиента конечным пользователем.
Управление qBittorrent осуществляется в том числе при помощи веб-интерфейса, получить доступ к которому можно посредством любого браузера. По умолчанию для обмена данными qBittorrent использует порт 8080, а также UPnP (Universal Plug and Play) для программного перенаправления портов, благодаря чему у пользователя имеется возможность удаленно контролировать работу торрент-клиента через интернет.
Пользователь qBittorrent также имеет возможность защитить программу от вмешательства в ее работу со стороны посторонних лиц при помощи пароля. Однако торрент-клиент в процессе его настройки настаивать на задании уникального и надежного пароля не будет. В описанном TorrentFreak случае пользователь решил не менять указанную по умолчанию стандартную пару логин-пароль – “admin” и “adminadmin” соответственно, что позволило злоумышленнику получить беспрепятственный доступ веб-интерфейсу программы.
qBittorrent располагает некоторыми базовыми функциями автоматизации процедур, связанных с загрузкой и организацией скачанных файлов, и, в частности, позволяет запускать внешние программы набором параметров командной строки в момент начала или завершения закачки торрент-файла.
Подобная функциональность предоставляет потенциальному злоумышленнику массу возможностей по внедрению вредоносного ПО на машину жертвы. В данном конкретном случае получивший доступ к незащищенному паролем веб-интерфейсу хакер настроил qBittorrent на выполнение простого скрипта, который затем подтянул более сложный сценарий на языке bash, в свою очередь развертывающий среду для добычи криптовалюты Monero – xmrig в составе пула C3Pool и корректирующий некоторые параметры системы для оптимизации производительности майнинга.
Как отмечает TorentFreak, избежать проникновения нежеланного майнера в компьютер g0dsha можно было очень просто. Во-первых, следовало отключить UPnP в настройках маршрутизатора, к которому была подключена машина с установленным qBitTorrent. Во-вторых, не стоило использовать пароль, предлагаемый программой по умолчанию.
Несколько фактов о qBitTorrent
qBitTorrent – это свободный кроссплатформенный клиент файлообменной сети BitTorrent, автором и основным разработчиком которого с 2006 г. является Кристоф Дюме (Christophe Dumez).
Разработчики qBitTorrent позиционируют свой продукт в качестве свободной альтернативы популярнейшему торрент-клиенту uTorrent.
Код торрент-клиента написан на языке программирования C++ и распространяется на условиях лицензии GPLv2+. Основной графический интерфейс программы реализован с использованием библиотеки Qt, веб-интерфейс базируется на Ajax.
