ผู้โจมตีจี้ซินโทโลจีของกล่องใส่ของฝาก

เจ้าของเครือข่าย Synology ระบบจัดเก็บข้อมูลที่แนบมาซึ่งประสบปัญหาประสิทธิภาพการเสียบอาจตกเป็นเหยื่อของการดำเนินการขุดอย่างกล้าหาญเพื่อสร้างสกุลเงินเสมือนจริงที่เรียกว่า Dogecoins แก้ไขระบบเหล่านั้นโดยเร็ว

ผู้โจมตีสร้างโครงการขุด Dogecoin ในกล่อง Synology NAS ที่มีช่องโหว่เพื่อขโมยพลังการประมวลผลเพื่อสร้างสกุลเงินดิจิตอลเข้ารหัสโดย Dell SecureWorks โปรแกรมการขุดหาหมูบนกระบวนการซีพียูของระบบและพลังการประมวลผลกราฟิกเพื่อทำการคำนวณทางคณิตศาสตร์อย่างเข้มข้นและซับซ้อนที่จำเป็นในการสร้างเศษส่วนของสกุลเงินดิจิตอล ระบบที่ได้รับผลกระทบแสดงหนามแหลมที่อธิบายไม่ได้ในการใช้งาน CPU และผู้ใช้พบว่าระบบช้าและใช้งานยาก

นักวิจัยของ Dell SecureWorks พบที่อยู่กระเป๋าเงินอิเล็กทรอนิกส์สองอันที่เกี่ยวข้องกับการดำเนินการนี้และประเมินว่าทีมที่อยู่เบื้องหลังการดำเนินการนี้อาจขุด Dogecoins ได้มากกว่า 500 ล้านต้นปีนี้ ที่ราคาปัจจุบันเหรียญเหล่านั้นมีมูลค่ามากกว่า $ 600, 000

“ ถึงวันนี้เหตุการณ์นี้เป็นการดำเนินการขุดที่ผิดกฎหมายและได้ผลกำไรสูงสุด” Pat Patke นักวิจัยของ Dell SecureWorks เขียน

ค้นหาโฟลเดอร์ Pwned

มีรายงานออนไลน์ตั้งแต่ต้นเดือนกุมภาพันธ์จากผู้ใช้ที่ไม่พอใจบ่นเกี่ยวกับประสิทธิภาพที่ซบเซาและการใช้งาน CPU สูงในกล่อง NAS ของ Synology Dell SecureWorks กล่าวว่าคนงานเหมืองคนโกงได้รับการบันทึกภายใต้ไดเรกทอรี PWNED บนเครื่องที่ถูกบุกรุก ผู้โจมตีพบระบบ NAS ที่เปราะบางโดยใช้การค้นหาขั้นสูงของ Google ด้วยคำหลักเฉพาะและ URL ของ Synology.me ซึ่งทำให้ผู้โจมตีเข้าสู่ซอฟต์แวร์การจัดการ NAS

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ร้ายแรงเช่นการดาวน์โหลดไฟล์ระยะไกลที่ไม่ได้รับอนุญาตและข้อบกพร่องในการฉีดคำสั่งใน DiskStation Manager ระบบปฏิบัติการบน Linux ของ Synology สำหรับระบบ NAS ข้อผิดพลาดถูกรายงานเมื่อเดือนกันยายนที่ผ่านมาโดยนักวิจัย Andrea Fabrizi Synology ได้แก้ไขข้อบกพร่องครั้งแรกในเดือนกันยายนและเผยแพร่การอัปเดตอีกครั้งในเดือนกุมภาพันธ์

จากข้อมูลของ Dell SecureWorks การโจมตีเหมืองจำนวนมากเกิดขึ้นระหว่างเดือนมกราคมถึงเดือนกุมภาพันธ์ปีนี้อย่างน้อยสามเดือนหลังจาก Synology แก้ไขข้อบกพร่องครั้งแรก เห็นได้ชัดว่าผู้ใช้หลายคนไม่ได้อัปเดตระบบหลังจากการอัปเดตครั้งที่สองเปิดตัวในเดือนกุมภาพันธ์เนื่องจากผู้ใช้ยังคงบ่นเกี่ยวกับโปรแกรมโกง ในความเป็นจริง SANS Internet Storm Center ก็รายงานว่ามีช่องโหว่ในการสแกนเทียบกับพอร์ต 5000 ในเดือนมีนาคม พอร์ตนั้นเป็นพอร์ตผู้ฟังเริ่มต้นสำหรับ Synology NAS

ล้างข้อมูลและแก้ไข

การโจมตีการขุดนี้เน้นถึงความสำคัญของการติดตั้งอุปกรณ์เครือข่ายเป็นประจำเช่นเราเตอร์และ NAS มันง่ายที่จะติดตั้งระบบเหล่านี้และลืมมัน แต่มันอันตรายที่จะละเลยกระดูกสันหลังของเครือข่ายในบ้าน หากละเมิดผู้โจมตีสามารถเข้าใช้เครือข่ายในบ้านและสกัดกั้นข้อมูลทุกประเภทเกี่ยวกับครอบครัว ตรวจสอบการอัปเดตเฟิร์มแวร์ใหม่เป็นประจำ

ผู้ใช้ที่ได้รับผลกระทบสามารถดูคำแนะนำในการลบอย่างละเอียดในฟอรัมผู้ใช้ของ Synology

Synology ได้ปรับเปลี่ยนอินเตอร์เฟสของ DiskStation Mananger เพื่ออัปเดตระบบปฏิบัติการโดยอัตโนมัติแทนที่จะรอผู้ใช้

“ เนื่องจาก cryptocurrencies ยังคงได้รับแรงผลักดันต่อไปความนิยมของพวกเขาในฐานะเป้าหมายสำหรับมัลแวร์ต่างๆจะเพิ่มขึ้นอย่างต่อเนื่อง” Litke กล่าว