Опрос
|
реклама
Быстрый переход
Linux-вирус Perfctl заразил с 2021 года тысячи серверов и скрытно майнит на них криптовалюту
05.10.2024 [14:28],
Павел Котов
Обнаружено опасное вредоносное ПО Perfctl, которому удалось заразить несколько тысяч машин под управлением Linux. Вирус отличают скрытые механизмы работы, способность эксплуатировать широкий набор ошибок в конфигурации, а также большой ассортимент вредоносных действий, которые он может выполнять. Perfctl работает как минимум с 2021 года. Он устанавливается, эксплуатируя более 20 000 распространённых ошибок конфигурации, а значит, его потенциальными целями могут оказаться миллионы подключённых к интернету машин, говорят специалисты по вопросам кибербезопасности из компании Aqua Security. Вирус также может эксплуатировать уязвимость системы Apache RocketMQ за номером CVE-2023-33246 с рейтингом 10 из 10, которая была закрыта в прошлом году. Вредонос получил название Perfctl в честь компонента, который занимается скрытой добычей криптовалют, — имя составлено из названий средств мониторинга perf и ctl в Linux. Для вируса характерно использование имён процессов или файлов, идентичных или похожих на легитимные в Linux. Вирус маскируется, прибегая и к множеству других трюков. Многие из своих компонентов он устанавливает как руткиты — особый класс вредоносов, способных скрывать своё присутствие от операционной системы и инструментов администрирования. Другие скрытые механизмы Perfctl:
Вирус способен оставаться на заражённой машине после перезагрузок или попыток удаления основных компонентов. Для этого он может настроить среду во время входа пользователя и загрузиться раньше легитимных рабочих нагрузок, а также копировать себя из памяти в несколько мест на диске. Perfctl не только занимается майнингом криптовалюты, но и превращает машину в прокси-сервер, за доступ к которому хакеры взимают плату с тех, кто хочет оставаться анонимным. Кроме того, вирус служит бэкдором для установки вредоносов других семейств. Воспользовавшись уязвимостью или ошибкой конфигурации, код эксплойта загружает основную полезную нагрузку с сервера, который был взломан ранее и превратился в канал распространения вирусов — в одном из случаев такая полезная нагрузка называлась «httpd». После выполнения файл копирует себя из памяти в новое место назначения в каталоге «/tmp», запускает его, удаляет исходный процесс и загруженный двоичный файл. Переместившись в каталог «/tmp», файл выполняется под другим именем, которое имитирует имя известного процесса Linux — в одном из случаев он получил название «sh», — оттуда он устанавливает локальный процесс управления и контроля, а также пытается получить права root, эксплуатируя уязвимость CVE-2021-4043 открытого мультимедийного фреймворка Gpac, которая была закрыта в 2021 году. Вирус продолжает копировать себя из памяти в несколько других мест на диске, используя имена, которые отображаются как обычные системные файлы. Далее устанавливается множество популярных утилит Linux, модифицированных для работы в качестве руткитов, и майнер. Для передачи управления стороннему оператору Perfctl открывает сокет Unix, создаёт два каталога и сохраняет там данные, которые необходимые для его работы: события хоста, местоположение копий, имена процессов, журналы связи, токены и дополнительная информация. Все двоичные файлы пакуются, шифруются и удаляются — это помогает обходить защитные механизмы и препятствует попыткам обратной разработки вируса. Perfctl приостанавливает работу, обнаруживая присутствие пользователя в файлах btmp или utmp, а также блокирует конкурирующие вирусы, чтобы сохранять контроль над заражённой системой. Число заражённых Perfctl машин, по подсчётам экспертов, измеряется тысячами, но количество уязвимых машин — на которых не установлен патч от CVE-2023-33246 или присутствует неправильная конфигурация — исчисляется миллионами. Объёмы добытой скрытными майнерами криптовалюты исследователи ещё не подсчитали. Есть много признаков заражения — в частности, необычные всплески загрузки процессора или внезапные замедления работы системы, особенно во время простоя. Чтобы предотвратить заражение, необходимо закрыть на машине уязвимость CVE-2023-33246 и исправить ошибки конфигурации, на которые указали специалисты Aqua Security. Майнер-одиночка добыл блок биткоина — вознаграждение составило более $200 тысяч
25.07.2024 [16:17],
Павел Котов
Очередному майнеру-одиночке удалось самостоятельно добыть блок биткоина — на вознаграждении и комиссиях он заработал $211 972. Добытый им блок биткоина имеет номер 853 742, а вычислительная мощность его оборудования составляет 3 Тхеш/с, рассказал администратор пула CKPool Кон Коливас (Con Colivas). Производительность майнингового оборудования в 3 Тхеш/с — это чрезвычайно скромный показатель для успешной добычи блока биткоина: «с такой мощностью шансы найти блок составляют 1 к 1,2 млн, и в среднем такое может произойти раз в 3500 лет при текущей сложности», пояснил Коливас. Майнер использовал оборудование D-Central Technologies Bitaxe, предназначенное специально для одиночной добычи криптовалют, и это первый случай успешной добычи блока биткоина при помощи данного оборудования. Примечательно, что установки были подключены лишь 19 дней назад, а производительность их увеличилась до 3 Тхеш/с лишь в последние сутки. Майнеры добывают биткоины, когда их оборудование выполняет сложные вычисления, которые подтверждают транзакции к блокчейне — открытом реестре. Транзакции упаковываются в блоки, и майнеры состязаются за то, кто из них добавит готовый блок в блокчейн. Когда майнер окончательно подтверждает блок транзакций, сеть выпускает новые биткоины, которые он получает в виде вознаграждения. Обычно добыча биткоинов производится пулами — в них объединяются мощности тысяч устройств. И если пул добывает блок, вознаграждение делится между его участниками пропорционально производительности их оборудования, а администрация пула удерживает комиссию. В апреле сложность майнинга биткоина достигла пикового значения 88,10 Тхеш, после чего снижалась и на 25 июля составила 82 Тхеш. В прошлом году майнерам-одиночкам удавалось добыть блоки минимум дважды, в мае и августе, но производительность их оборудования была значительно выше, чем на этот раз — 750 Тхеш/с и 1 Пхеш/с соответственно. Майнер-одиночка самостоятельно добыл блок биткоина и заработал $160 тысяч
22.08.2023 [16:38],
Павел Котов
Одиночный майнер с оборудованием совокупной производительностью 1 Пхеш/с сумел 18 августа самостоятельно добыть блок биткоина и получить за него вознаграждение в размере 6,25 BTC, что по теперешнему курсу составляет более $160 тыс. При данном хешрейте такое событие может происходить раз в восемь лет. Майнер, подключённый к пулу CKPool и обладающий кошельком с адресом bc1q2za4ejga366sn288273pty8trasn5zs4y9hqg6, добыл блок биткоина за номером 803 821. Вероятность такого события считается крайне невысокой — при производительности оборудования в 1 Пхеш/с добыть блок самостоятельно можно один раз за восемь лет. Но на практике такое почему-то происходит чаще. Известно, что в январе 2022 года блок биткоина сумел добыть майнер-одиночка с оборудованием совокупной производительностью 126 Тхеш/с. За это он получил те же 6,25 биткоина, но тогда курс крупнейшей криптовалюты был $42,8 тыс., и вознаграждение составило примерно $270 тыс. А вероятность такого события составляла 1 к 1,36 млн. А в последний раз одиночке повезло совсем недавно — в мае этого года. Его оборудование имело суммарную мощность в 750 Тхеш/с, а вознаграждение составило $170 тыс. Вероятность события была также невелика — 1 шанс из 489 тыс. Рост криптовалют привёл к подорожанию оборудования для майнинга на 15–30 %, но к концу года цена может упасть
12.04.2023 [09:01],
Руслан Авдеев
В последнее время оборудование для майнинга значительно поднялось в цене — на 15–20 %, а в некоторых случаях и на 30 %. Как сообщает «Коммерсантъ», по мнению российских экспертов, такая динамика связана с ростом курса криптовалют, в первую очередь — биткоина. Тем не менее к концу 2023 года такое оборудование может упасть в цене по «техническим» причинам. По мнению экспертов, в первом квартале цена оборудования для майнинга в среднем выросла на 15–20 %, но по наиболее популярным позициям рост составил и 30 %. Например, с конца 2022 года цена ASIC-майнеров, используемых для добычи криптовалют, выросла с $1,3–1,8 тыс. до $1,5–2 тыс. На стоимости для российских пользователей сказываются и колебания курса доллара. Популярнее всего майнеры, потребляющие меньше всего энергии и приносящие максимальный доход — M30S+, M30S++, M50S+ бренда Whatsminer и S19, S19 Pro, S19 XP бренда Antminer. Эксперты уверены, что в первую очередь подорожание оборудования связано с ростом курса биткоина — с начала текущего года он поднялся в цене более чем на 80 %, а недавно его стоимость превысила $30 тыс., достигнув максимума за 10 месяцев. Впрочем, если на пике стоимости криптовалюты цена Antminer S19 превышала 1 млн рублей, то сейчас составляет всего 150 тыс. рублей. Тем не менее, на фоне роста рентабельности оборудования повышают цены на него и производители с поставщиками. Более того, могут получить «второе дыхание» и модели майнеров, в 2022 году переставших быть прибыльными — при текущем курсе биткоина на них снова можно зарабатывать деньги. По мнению некоторых экспертов, на рынке майнинга крепнет уверенность, что всё худшее «уже случилось». По данным экспертов, порог входа в бизнес с покупкой одной единицы оборудования составляет около 200 тыс. рублей, с окупаемостью в год-полтора. Впрочем, добычей криптовалют теперь в основном занимаются не одиночки, а крупные корпоративные игроки. Известно, что в России мощности майнинговых бизнесов достигли 1 ГВт. Препятствием на пути развития майнинга в России остаётся правовая неопределённость. Хотя законопроект о регулировании рынка криптовалют и майнинга уже внесли в Госдуму в конце прошлого года, он не прошёл даже первого чтения, но специалисты не исключают, что к его рассмотрению могут вернуться в апреле. В любом случае некоторые эксперты уверены, что к концу года оборудование может снова подешеветь в связи в приближающимся «халвингом» — уменьшением скорости генерирования новых единиц криптовалюты, до этого остался год. По некоторым данным, отдельные игроки рынка уже начали накапливать средства на покупку подешевевших вычислительных блоков после халвинга. |