Популярен торент клиент позволява на атакуващите лесно да внедрят програма за копаене на Монеро в компютъра на потребителя (снимка: CC0 Public Domain)
Потребители на популярен торент клиент са замесени в копаене на криптовалута, без да подозират за това. Въвличането им в услуга на находчиви крипто-предприемачи става поради недоглеждане в процеса на първоначално конфигуриране на торент софтуера.
Програмата за скрито копаене на най-криминализиранатя криптовалута Монеро (Monero) се внедрява чрез популярния торент клиент qBitTorrent – той се позиционира от разработчиците като безплатна алтернатива на собствения μTorrent. На атакуващите не се налага да търсят уязвимости в софтуера, достатъчно е да намерят потребител на торент клиента, който е бил небрежен при първоначалната конфигурация, съобщи TorrentFreak.
Монеро е криптовалута, базирана на протокола CryptoNote и с фокус върху повишената поверителност на транзакциите. Тя си спечели репутацията на “най-престъпната” криптовалута, тъй като присъщата ѝ анонимност на транзакциите позволява на нейните потребители да получават плащания за незаконни стоки и услуги относително безопасно.
Историята на един потърпевш
Потребител на GitHub с псевдонима g0dsha се сблъскал с проблема месец след инсталирането на qBitTorrent. Той забелязва, че qBitTorrent консумира твърде много системни ресурси и претоварва централния процесор. След като внимателно проучва активните процеси в системата, g0dsha открива инструмент за копаене xmrig, работещ във фонов режим.
Озадаченият g0dsha се свърза с автора на проекта Proxmox VE Helper Scripts чрез GitHub – именно с този скрипт първоначално е внедрен торент клиентът в компютъра, а по-късно машината става част на мрежата копачи на Монеро.
Proxmox VE (Virtual Environment) е система за виртуализация с отворен код, изградена върху дистрибуцията на Debian Linux. Поддържа LXC-базирана контейнеризация или пълна виртуализация с помощта на KVM хипервайзор.
Външен разработчик с псевдоним teck в GitHub работи върху набор от „помощни скриптове“, които позволяват бързо и лесно инсталиране на софтуер в Proxmox VE с помощта на LXC контейнери, дори от начинаещи, които нямат опит със системата.
Съвместно разследване на g0dsha и teck разкрива, че нито скриптовете за лесно инсталиране на контейнер, нито разработчиците на qBitTorrent са участвали пряко във внедряването на софтуера за копаене Монеро в компютрите на потребителите. За всичко е виновна грешната настройка на торент клиента от крайния потребител.
Небрежно конфигуриране
qBittorrent се управлява, наред с други неща, с помощта на уеб интерфейс, който е достъпен през всеки браузър. По подразбиране qBittorrent използва порт 8080 за комуникация, както и UPnP (Universal Plug and Play) за софтуерно пренасочване на портове, така че потребителят може дистанционно да контролира работата на торент клиента през интернет.
Потребителите на qBittorrent могат също да защитят програмата от намеса в нейната работа от неоторизирани лица, използвайки парола. Но торент клиентът не настоява за задаване на уникална и силна парола по време на конфигурацията си.
В случая, описан от TorrentFreak, потребителят решава да не променя двойката логин-парола по подразбиране – съответно „admin“ и „adminadmin“, което позволява на атакуващия да получи безпрепятствен достъп до уеб интерфейса на програмата.
qBittorrent има някои основни функции за автоматизиране на процедурите, свързани с изтегляне и организиране на файлове, и по-специално позволява на потребителите да стартират външни програми с набор от опции на командния ред в момента, в който изтеглянето на торент файл започне или приключи.
Подобна функционалност предоставя на потенциален нападател много възможности да инжектира зловреден софтуер в машината на жертвата. В конкретния случай, след като е получил достъп до уеб интерфейса, който не е бил защитен с парола, хакерът е конфигурирал qBittorrent да изпълни прост скрипт, който след това е изтеглил по-сложен bash скрипт.
Последният, от своя страна, е внедрил средата за копаене на криптовалута Монеро – xmrig като част от пула C3Pool и е коригирал някои системни параметри, за да оптимизира производителността на копаене.
Както отбелязва TorentFreak, много лесно е потребителят да не допусне попадането на нежелан криптомайнер в компютъра си. Първо, UPnP трябва да е деактивиран в настройките на рутера, към който е свързана машината с инсталиран qBitTorrent. Второ, не си струва да използвате паролата по подразбиране, предлагана от програмата.
Факти за qBitTorrent
qBitTorrent е безплатен крос-платформен BitTorrent клиент за споделяне на файлове, с автор и основен разработчик от 2006 г. насам Кристоф Дюме. Екипът позиционира продукта си като безплатна алтернатива на най-популярния торент клиент μTorrent.
Кодът на торент клиента е написан на езика за програмиране C++ и се разпространява при условията на лиценз GPLv2+. Основният графичен интерфейс на програмата е реализиран с помощта на библиотеката Qt, а уеб интерфейсът е базиран на Ajax.
Копаенето е винаги възможно, ако за него не заплащаш нищо… От един хакнат компютър нищо няма да получш, но 10000 такива може да изкараш някой лев (без да си инвестирал практически нищо, освен умения и време).
Копаенето вече не е възможно дори и със супер мощни видео карти. Какво ще копае този торент? За копаене се използват специализирани FPGA ,ASIC платки никой обикновен потребител няма да такъв хардуер с такива мощности. Дрънкалки и глупости, за да оплюват торентите, за да отблъскват и плашат хората да не ползуват пиратски софтуер и безплатна медия филми музика защото компаниите и посредниците са алчни за пари и печалби от по 1000% процента.
Уби коча с бичкията
Значи някои е направил гуша (крипто гуша)
Не знам дали автора неволно или нарочно е описал “проблема” по такъв начин, но определено е пропуснал нещо съществено: по подразбиране уеб интерфейса на qBitTorrent НЕ Е РАЗРЕШЕН. С други думи, за да има посочения проблем, потребителя трябва да отиде в настройките и да разреши въпросния интерфейс, и след това (като един истински ламер), НЕ ТРЯБВА да смени паролата по подразбиране!