Вредонос perfctl три года скрытно добывал криптовалюту на Linux-серверах

На протяжении трех лет вредоносная программа под названием perfctl тихо проникает в серверы с операционной системой Linux, используя их вычислительные ресурсы для добычи криптовалют. Специалисты компании Aqua Nautilus, впервые обнаружившие эту угрозу, уверены, что программа заразила миллионы серверов, причинив владельцам значительные финансовые потери.

Эта угроза стала возможной благодаря тому, что злоумышленники использовали руткиты и продвинутые методы скрытности. Например, perfctl может быть установлен через уязвимости в программном обеспечении, такие как CVE-2023-33246, позволяющая запускать произвольные команды в Apache RocketMQ, или CVE-2021-4034, дающая возможность повышения привилегий в Polkit. Как правило, злоумышленники используют ошибки в настройках или украденные учетные данные для доступа к серверам.

После успешного проникновения вредонос скачивает зашифрованный модуль, маскирующийся под легитимный компонент системы, и устанавливает скрытый майнер XMRIG для добычи криптовалюты Monero. Все соединения с майнинговыми пулами происходят через сеть TOR, что значительно усложняет отслеживание доходов.

Эксперты подчеркивают, что владельцы серверов часто не подозревают о присутствии вредоносного ПО, пока не заметят чрезмерную загрузку процессоров. Однако, даже при попытке администраторов зайти на сервер, майнер моментально останавливает свою работу и продолжает добычу только после их отключения.

Удаление такого рода вредоносного ПО является крайне сложной задачей. Эксперты рекомендуют полное удаление данных и переустановку операционной системы как единственный надежный способ избавиться от этой угрозы. Также они советуют тщательно следить за загрузкой процессоров, проверять директории на наличие подозрительных файлов и блокировать IP-адреса, связанные с perfctl.