Bezpečnostní experti zo spoločnosti Wiz Research varujú pred novou vlnou kybernetických útokov, ktoré sa zameriavajú na chyby v cloudových službách. Cieľom hackerov je tajne nainštalovať škodlivý softvér na počítače a servery, ktoré potom zneužívajú na ťažbu kryptomien – bez vedomia ich majiteľov.
Ako útok funguje – jednoducho povedané
Útok s názvom Soco404 funguje tak, že hackeri predstierajú, že ide o bežnú „chybu 404“ (stránka sa nenašla). V skutočnosti však práve cez tieto falošné chybové stránky posielajú do systému škodlivý program.
Tento útok cieli najmä na cloudové databázy, konkrétne na tie, ktoré používajú PostgreSQL – systém na ukladanie dát. Ak je táto databáza nesprávne nastavená a vystavená verejnosti (napr. nie je chránená heslom alebo je dostupná cez internet), môže sa stať vstupnou bránou pre hackerov.
Prečo je to nebezpečné?
- Hackeri získajú kontrolu nad počítačom alebo serverom.
- Nainštalujú ťažobný softvér, ktorý pracuje na pozadí – bez toho, aby ste si to všimli.
- Systém sa spomalí, môže sa prehrievať, alebo sa správať podozrivo.
- Útočníci sa snažia svoju činnosť zamaskovať, takže bežný používateľ nič nezbadá.
Čo robí tento malvér?
Keď sa útočník dostane do systému:
- Stiahne si nástroje, ktoré bežne slúžia na sťahovanie súborov (napr.
curl,wgetaleboPowerShell), a použije ich na inštaláciu škodlivého programu. - Následne sa pokúsi skryť svoju prítomnosť – vymazáva stopy, maskuje sa ako bežný systémový proces, a zabezpečuje, aby sa softvér spustil aj po reštarte.
- V systéme Windows používa známy trik – spustí softvér s názvom
ok.exe, ktorý sa „tvári“ ako bežný program, ale v skutočnosti pracuje v pozadí a zarába útočníkom peniaze.
Zvlášť nebezpečné je, že hackeri využívajú na šírenie svojho softvéru aj legitímne stránky a cloudové služby – napríklad tie od Google alebo iných dôveryhodných poskytovateľov. Týmto spôsobom oklamú antivírusy a bezpečnostné systémy, ktoré nevidia hrozbu, pretože vyzerá ako bežný internetový obsah.
Okrem ťažby kryptomien sa útočníci snažia aj o finančné podvody. Vytvárajú falošné webové stránky, ktoré napodobňujú známe burzy alebo obchodné platformy, a môžu sa pokúsiť získať vaše prihlasovacie údaje alebo peniaze.
Ako sa chrániť?
Spoločnosť Wiz Research odporúča najmä:
- Vypnúť prístup k databázam z internetu, ak to nie je nevyhnutné.
- Sledovať podozrivé správanie systému – napríklad vysokú záťaž CPU alebo nezvyčajné procesy.
- Používať bezpečnostný softvér, ktorý vie rozpoznať a zastaviť pokusy o spustenie podozrivého kódu.
- Pravidelne aktualizovať softvér a operačný systém.
Pre IT špecialistov poskytla spoločnosť Wiz aj zoznam technických údajov a indikátorov kompromitácie – napríklad názvy škodlivých súborov, adresy peňaženiek a podozrivé domény, ktoré možno využiť na identifikáciu aktívneho útoku.
