Check Point entdeckt Cryptomining-Kampagne mit Jenkins Server

29. Oktober 2020

Das Gefahrenpotenzial der Attacke mit JenkinsMiner ist riesig und könnte sich zum größten bekannten Miningprojekt entwickeln + Check Point entdeckt riesige Mining-Aktivitäten mit dem XMRig-Miner. Die Verantwortlichen kommen wahrscheinlich aus China und erstellen Einheiten der Kryptowährung Monero. Zudem gibt es Anzeichen davon, dass die Hintermänner in einer großangelegten Aktion versuchen, die Rechenleistung von Jenkins CI-Servern für ihre Zwecke zu missbrauchen.

Es wird angenommen, dass bisher Monero im Wert von drei Millionen US-Dollar kreiert wurden. Durch eine bekannte Schwachstelle (CVE-2017-1000353) in der Jenkins Java Deserialization-Implementierung kann sich diese Summe aber noch deutlich erhöhen. Dabei reichen zwei aufeinanderfolgende Anfragen an das CLI-Interface aus, um die Server zu kapern und den Schadcode einzuschleusen. Der kritische Schwachpunkt liegt an der unzureichenden Prüfung der eingereihten Objekte. Nach der Serialisierung werden alle Anfragen ungeprüft akzeptiert. Die technischen Details gibt es unter https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/ 

„Wir haben die Gefahr durch Kryptominer bereits im letzten Jahr erkannt und entsprechend reagiert. Trotzdem ist es erschreckend zu sehen, wie ökonomisiert und zielgerichtet die Cyberkriminellen vorgehen. Ist die zu gewitterte Beute groß genug, kommt es rasend schnell zu unglaublich heftigen Attacken,“ sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point. „Einzelne Unternehmen müssen aufpassen, dass sie dabei nicht unter die Räder kommen. Bei derartigen Hunger auf Rechenleistung sind die Angreifer skrupellos und ohne entsprechenden Schutz werden ganze Netzwerksegmente in kurzer Zeit in die Knie gezwungen.

Angriffe mit Cryptominern sind seit Monaten auf dem Vormarsch, allerdings markiert der Vorfall eine neue Bedrohungsdimension. Vor einigen Tagen zeigte RubyMiner wie lukrativ solche Attacken sein können, mit JenkinsMiner drohen jetzt gleich mehrere negative Folgen für betroffene Organisationen: Serverausfälle, lange Ladezeiten bis hin zum Denial of Service (DoS) oder sogar Schaden an den Endgeräten durch übermäßige Abnutzung sind möglich

Die Kriminelle setzen auf eine Verbindung des XMRig-Miner mit einem Remote Access Trojan (RAT). Opfer von Attacken finden sich seit einige Monaten auf der ganzen Welt, hauptsächlich Windows-PCs. Die Pflege durch Updates für die Malware und regelmäßige Erweiterungen des Schadcodes deuten darauf hin, dass die Hintermänner erfahrene Profis sind und die Attacken weitergehen werden. 

Informationen über Check Points Threat-Prevention sind verfügbar auf:  http://www.checkpoint.com/threat-prevention-resources/index.html