El equipo de investigación de amenazas de Uptycs tiene descubrió un malware que no solo secuestra servidores vulnerables * basados en nix y los usa para minar criptomonedas, sino que en realidad modifica sus configuraciones de CPU en un intento por aumentar el rendimiento de la minería a costa del rendimiento en otras aplicaciones.
Los perpetradores utilizan un gusano basado en Golang para explotar vulnerabilidades conocidas como CVE-2020-14882 (Oracle WebLogic) y CVE-2017-11610 (Supervisord) para obtener acceso a los sistemas Linux, informa The Record . Una vez que secuestran una máquina, usan registros específicos del modelo (MSR) para deshabilitar el prefetcher de hardware, una unidad que obtiene datos e instrucciones de la memoria a la caché L2 antes de que sean necesarios.
La captación previa se ha utilizado durante años y puede mejorar el rendimiento en varias tareas. Sin embargo, deshabilitarlo puede aumentar el rendimiento de la minería en XMRig, el software de minería que usan los perpetradores, en un 15%.
Pero la desactivación del prefetcher de hardware reduce el rendimiento en aplicaciones legítimas. A su vez, los operadores de servidores tienen que comprar máquinas adicionales para cumplir con sus requisitos de rendimiento o aumentar los límites de energía para el hardware existente. En cualquier caso, aumentan el consumo de energía y gastan dinero adicional.
Según se informa, la botnet se ha utilizado desde al menos diciembre de 2020 y se ha dirigido a vulnerabilidades en MySQL, Tomcat, Oracle WebLogic y Jenkins, lo que indica que es lo suficientemente flexible como para atacar varios programas. No está claro qué tan generalizados están estos ataques, pero parece que son lo suficientemente comunes como para que los investigadores de seguridad los estudien.
