Die Verantwortlichen kommen wahrscheinlich aus China und erstellen Einheiten der Kryptowährung Monero. Das Gefahrenpotenzial der Attacke mit JenkinsMiner ist riesig und könnte sich zum größten bekannten Miningprojekt entwickeln.
Zudem gibt es Anzeichen davon, dass die Hintermänner in einer großangelegten Aktion versuchen, die Rechenleistung von Jenkins CI-Servern für ihre Zwecke zu missbrauchen.
Es wird angenommen, dass bisher Monero im Wert von drei Millionen US-Dollar kreiert wurden. Durch eine bekannte Schwachstelle (CVE-2017-1000353) in der Jenkins Java Deserialization-Implementierung kann sich diese Summe aber noch deutlich erhöhen.
Dabei reichen zwei aufeinanderfolgende Anfragen an das CLI-Interface aus, um die Server zu kapern und den Schadcode einzuschleusen. Der kritische Schwachpunkt liegt an der unzureichenden Prüfung der eingereihten Objekte. Nach der Serialisierung werden alle Anfragen ungeprüft akzeptiert.
„Wir haben die Gefahr durch Kryptominer bereits im letzten Jahr erkannt und entsprechend reagiert. Trotzdem ist es erschreckend zu sehen, wie ökonomisiert und zielgerichtet die Cyberkriminellen vorgehen. Ist die zu gewitterte Beute groß genug, kommt es rasend schnell zu unglaublich heftigen Attacken,“ sagt Dietmar Schnabel, Regional Director Central Europe bei Check Point.
„Einzelne Unternehmen müssen aufpassen, dass sie dabei nicht unter die Räder kommen. Bei derartigen Hunger auf Rechenleistung sind die Angreifer skrupellos und ohne entsprechenden Schutz werden ganze Netzwerksegmente in kurzer Zeit in die Knie gezwungen.
Angriffe mit Cryptominern sind seit Monaten auf dem Vormarsch, allerdings markiert der Vorfall eine neue Bedrohungsdimension. Vor einigen Tagen zeigte RubyMiner wie lukrativ solche Attacken sein können, mit JenkinsMiner drohen jetzt gleich mehrere negative Folgen für betroffene Organisationen: Serverausfälle, lange Ladezeiten bis hin zum Denial of Service (DoS) oder sogar Schaden an den Endgeräten durch übermäßige Abnutzung sind möglich
Die Kriminelle setzen auf eine Verbindung des XMRig-Miner mit einem Remote Access Trojan (RAT). Opfer von Attacken finden sich seit einige Monaten auf der ganzen Welt, hauptsächlich Windows-PCs. Die Pflege durch Updates für die Malware und regelmäßige Erweiterungen des Schadcodes deuten darauf hin, dass die Hintermänner erfahrene Profis sind und die Attacken weitergehen werden.