هکرها با استفاده از آسیب پذیری Log4j از سرورهای HP برای استخراج رمزارز استفاده کردند

چندان طولی نکشید که هکرها بتوانند از یک آسیب پذیری مهم جاوا بنفع خود سوءاستفاده کنند. یک هکر ناشناس با استفاده از آسیب‌پذیری Log4J، موفق به کنترل سرورهای 9000 EPYC مبتنی بر AMD HP شد و این سخت‌افزار قدرتمند را به ماینر ارزدیجیتال تبدیل کرد. اینکار باعث دو برابر شدن هش ریت ارز دیجیتال Raptoreum مبتنی بر CPU (RTM) از 200 MH/s به 400 MH/s شد. البته در کوتاه مدتی اکثر سرورهای مورد بهره‌برداری آفلاین شدند.

Log4J یک آسیب‌پذیری جاوا است که اخیراً به عنوان بخشی از مجموعه Apache منتشر شده است. این آسیب‌پذیری بر اساس دستورالعمل‌های “CVSS 3.0” دارای بالاترین طبقه‌بندی تهدید ممکن (10) است. بزرگترین مشکلی که در این آسیب‌پذیری وجود دارد این موضوع است که برای نفوذ به سرورها، به دسترسی فیزیکی نیازی نیست. در این آسیب‌پذیری هکر میتواند از راه دور و با افزایش امتیازات و سطوح دسترسی خود، اجازه اتصال، دانلود و اجرای بدافزار برروی یک سرور تحت کنترل را انجام دهد. چندین شرکت نرم‌افزاری این آسیب‌پذیری را اصلاح کرده‌اند، اما این مورد برای دستگاه‌های EPYC 9000 HP صدق نمی‌کند.

مرتبط : آسیب‌پذیری بحرانی Log4j بخش بزرگی از اینترنت را در معرض خطر قرار می‌دهد

به نظر می‌رسد سرور EPYC HP تنها به یک دلیل مورد هدف قرار گرفته است و آن استخراج Raptoreum (RTM) است. RTM یک ارز دیجیتال مبتنی بر CPU بر اساس مدل Proof-Of-Work (PoW) است. این ارز دیجیتال از الگوریتم GhostRider استفاده می‌کند.

Ghostrider الگوریتم‌های x16r و CryptoNight را ترکیب می‌کند و به‌ویژه با CPUهای طراحی‌های Zen با کش AMD بسیار هماهنگ است. این درحالی است که Ryzen 9 5900X (12 هسته ای) و 5950X (16 هسته ای) هر دو دارای 64 مگابایت کش L3 هستند. پردازنده های Zen 3 مبتنی بر EPYC Milan شرکت AMD این میزان را دو برابر کرده و به 128 مگابایت رسانده که این موضوع، عملکرد و درآمد روزانه را برای استخراج این ارزدیجیتال افزایش می دهند. پردازنده‌های آینده AMD Milan-X EPYC در سه‌ماهه دوم ۲۰۲۲ عرضه می‌شوند. پردازنده‌ها با بهره‌گیری از کش سه‌بعدی V-Cache، اندازه کش L3 را به ۷۶۸ مگابایت افزایش می‌دهند. شاید تصور این موضوع دشوار باشد که این سیلیکون‌های جدید این شرکت قادر به گشودن چه میزان هش‌ریت خواهند بود.

توسعه دهندگان Raptoreum برای اولین بار در 9 دسامبر متوجه افزایش غیرمعمول در هش‌ریت شدند. این حالی بود که تعداد ماشین‌هایی که به Raptoreum کمک می‌کنند به طور پیوسته در حال افزایش هستند. با این وجود  تیم توسعه دهنده در 9 دسامبر شاهد یک جهش غیرعادی در هش‌ریت شبکه از نرخ معمول 200 MH/s به 400 MH/s که دو برابر ریت واقعی است شدند. این افزایش از یک کیف پول مشخص می‌آمد.

یکی از توسعه دهندگان برجسته Raptoreum در توضیحاتی به EIN News اعلام کرد که: در طول این حمله، بسیاری از سرورها مورد نفوذ قرار گرفتند، که هر کدام مقدار قابل توجهی از قدرت هش را روی تجهیزات سرورهای بسیار پیشرفته تولید می‌کردند. تعداد کمی از سازمان‌ها در جهان به چنین سخت‌افزارها و سرورهایی دسترسی دارند و همین موضوع حمله با استفاده از سخت‌افزارهای شخصی را بسیار بعید می‌ساخت. پس از یک سری تحقیقات، اکنون شواهد قوی وجود دارد که نشان می‌دهد سخت‌افزار سرور Hewlett-Packard 9000 EPYC برای استخراج ارز دیجیتال Raptoreum مورد استفاده قرار داده شده است.

او اضافه کرد که: ما متوجه شدیم که ماینرهایی که از این سرورها برای عملیات استخراج استفاده می کردند نام مستعار HP داشتند. تمام این ماینرها به طور ناگهانی متوقف شدند که احتمالا در آن زمان شرکت AMD این آسیب‌پذیری را پوشش داده است. سوءاستفاده استخراج Log4J Raptoreum از 9 دسامبر شروع شد و در 17 دسامبر به پایان رسید. در این دوره هکرها توانستند تقریباً 30 درصد از کل پاداش بلاک را جمع آوری کنند که تقریباً 3.4 میلیون Raptoreum (RTM) به ارزش حدود 110,000 دلار به قیمت 21/12/2021 است. اگرچه فعالیت به طور قابل توجهی کاهش یافته است، اما هنوز نیز ماینرها از طریق دستگاهی که هنوز به درستی وصله نشده است در حال استخراج این ارز دیجیتال هستند.

از 3.4 میلیون توکن Raptoreum موجود در این کیف پول، هکرها موفق شدند حدود 1.5 میلیون از آنها را جابجا کنند و این مقدار را از طریق صرافی CoinEx نقد کنند. 1.7 میلیون توکن باقیمانده هنوز بدون استفاده مانده‌اند. احتمالا این هکرها منتظر رشد احتمالی قیمت این ارز دیجیتال قبل از نقد کردن آنها هستند. این موضوع نیز جالب توجه است که ارزش Raptoreum تحت تأثیر این عملیات قرار نگرفته است.