چندان طولی نکشید که هکرها بتوانند از یک آسیب پذیری مهم جاوا بنفع خود سوءاستفاده کنند. یک هکر ناشناس با استفاده از آسیبپذیری Log4J، موفق به کنترل سرورهای 9000 EPYC مبتنی بر AMD HP شد و این سختافزار قدرتمند را به ماینر ارزدیجیتال تبدیل کرد. اینکار باعث دو برابر شدن هش ریت ارز دیجیتال Raptoreum مبتنی بر CPU (RTM) از 200 MH/s به 400 MH/s شد. البته در کوتاه مدتی اکثر سرورهای مورد بهرهبرداری آفلاین شدند.
Log4J یک آسیبپذیری جاوا است که اخیراً به عنوان بخشی از مجموعه Apache منتشر شده است. این آسیبپذیری بر اساس دستورالعملهای “CVSS 3.0” دارای بالاترین طبقهبندی تهدید ممکن (10) است. بزرگترین مشکلی که در این آسیبپذیری وجود دارد این موضوع است که برای نفوذ به سرورها، به دسترسی فیزیکی نیازی نیست. در این آسیبپذیری هکر میتواند از راه دور و با افزایش امتیازات و سطوح دسترسی خود، اجازه اتصال، دانلود و اجرای بدافزار برروی یک سرور تحت کنترل را انجام دهد. چندین شرکت نرمافزاری این آسیبپذیری را اصلاح کردهاند، اما این مورد برای دستگاههای EPYC 9000 HP صدق نمیکند.
مرتبط : آسیبپذیری بحرانی Log4j بخش بزرگی از اینترنت را در معرض خطر قرار میدهد
به نظر میرسد سرور EPYC HP تنها به یک دلیل مورد هدف قرار گرفته است و آن استخراج Raptoreum (RTM) است. RTM یک ارز دیجیتال مبتنی بر CPU بر اساس مدل Proof-Of-Work (PoW) است. این ارز دیجیتال از الگوریتم GhostRider استفاده میکند.
Ghostrider الگوریتمهای x16r و CryptoNight را ترکیب میکند و بهویژه با CPUهای طراحیهای Zen با کش AMD بسیار هماهنگ است. این درحالی است که Ryzen 9 5900X (12 هسته ای) و 5950X (16 هسته ای) هر دو دارای 64 مگابایت کش L3 هستند. پردازنده های Zen 3 مبتنی بر EPYC Milan شرکت AMD این میزان را دو برابر کرده و به 128 مگابایت رسانده که این موضوع، عملکرد و درآمد روزانه را برای استخراج این ارزدیجیتال افزایش می دهند. پردازندههای آینده AMD Milan-X EPYC در سهماهه دوم ۲۰۲۲ عرضه میشوند. پردازندهها با بهرهگیری از کش سهبعدی V-Cache، اندازه کش L3 را به ۷۶۸ مگابایت افزایش میدهند. شاید تصور این موضوع دشوار باشد که این سیلیکونهای جدید این شرکت قادر به گشودن چه میزان هشریت خواهند بود.
توسعه دهندگان Raptoreum برای اولین بار در 9 دسامبر متوجه افزایش غیرمعمول در هشریت شدند. این حالی بود که تعداد ماشینهایی که به Raptoreum کمک میکنند به طور پیوسته در حال افزایش هستند. با این وجود تیم توسعه دهنده در 9 دسامبر شاهد یک جهش غیرعادی در هشریت شبکه از نرخ معمول 200 MH/s به 400 MH/s که دو برابر ریت واقعی است شدند. این افزایش از یک کیف پول مشخص میآمد.
یکی از توسعه دهندگان برجسته Raptoreum در توضیحاتی به EIN News اعلام کرد که: در طول این حمله، بسیاری از سرورها مورد نفوذ قرار گرفتند، که هر کدام مقدار قابل توجهی از قدرت هش را روی تجهیزات سرورهای بسیار پیشرفته تولید میکردند. تعداد کمی از سازمانها در جهان به چنین سختافزارها و سرورهایی دسترسی دارند و همین موضوع حمله با استفاده از سختافزارهای شخصی را بسیار بعید میساخت. پس از یک سری تحقیقات، اکنون شواهد قوی وجود دارد که نشان میدهد سختافزار سرور Hewlett-Packard 9000 EPYC برای استخراج ارز دیجیتال Raptoreum مورد استفاده قرار داده شده است.
او اضافه کرد که: ما متوجه شدیم که ماینرهایی که از این سرورها برای عملیات استخراج استفاده می کردند نام مستعار HP داشتند. تمام این ماینرها به طور ناگهانی متوقف شدند که احتمالا در آن زمان شرکت AMD این آسیبپذیری را پوشش داده است. سوءاستفاده استخراج Log4J Raptoreum از 9 دسامبر شروع شد و در 17 دسامبر به پایان رسید. در این دوره هکرها توانستند تقریباً 30 درصد از کل پاداش بلاک را جمع آوری کنند که تقریباً 3.4 میلیون Raptoreum (RTM) به ارزش حدود 110,000 دلار به قیمت 21/12/2021 است. اگرچه فعالیت به طور قابل توجهی کاهش یافته است، اما هنوز نیز ماینرها از طریق دستگاهی که هنوز به درستی وصله نشده است در حال استخراج این ارز دیجیتال هستند.
از 3.4 میلیون توکن Raptoreum موجود در این کیف پول، هکرها موفق شدند حدود 1.5 میلیون از آنها را جابجا کنند و این مقدار را از طریق صرافی CoinEx نقد کنند. 1.7 میلیون توکن باقیمانده هنوز بدون استفاده ماندهاند. احتمالا این هکرها منتظر رشد احتمالی قیمت این ارز دیجیتال قبل از نقد کردن آنها هستند. این موضوع نیز جالب توجه است که ارزش Raptoreum تحت تأثیر این عملیات قرار نگرفته است.
