Unbekannte Angreifer haben mit von ihnen gehackten HP-Servern in acht Tagen mehr als 110.000 USD an der Kryptowährung Raptoreum verdient.
Hacker nutzten eine Schwachstelle in der Log4J-Bibliothek aus, um HP 9000-Server mit AMD EPYC-Prozessoren zu kompromittieren. Zwischen dem 9. und 17. Dezember nutzten sie diese Ressourcen zum Minen der Kryptowährung Raptoreum, berichtet wccftech.com.
Mit dem Log4J-Exploit gelang es einem nicht identifizierten Akteur, die Kontrolle über AMD-basierte 9000 EPYC-Server von HP zu erlangen und die leistungsstarke Hardware in Kryptowährungs-Miner zu verwandeln. Die Aktion führte zu einer Verdoppelung der Hash-Rate für die CPU-basierte Kryptowährung Raptoreum (RTM) von 200 MH/s auf 400 MH/s, bevor die meisten der auf diese Weise genutzten Rechner offline gingen.
Hacker-Ziele waren HP 9000 Server basierend auf AMD EPYC
Log4J ist eine Java-Sicherheitslücke, die kürzlich als Teil der beliebten Apache-Suite bekannt wurde. Der Log4J-Exploit ist eine der wenigen Schwachstellen, die gemäß CVSS 3.0 die höchste Bedrohungsstufe (Stufe 10) erreicht hat. Dies liegt daran, dass der Exploit keinen physischen Zugriff erfordert und zahlreiche Berechtigungen ermöglicht, um das System dazu zu bringen, eine Verbindung zu einem von Hackern kontrollierten Server herzustellen, Malware herunterzuladen und auszuführen. Mehrere Softwareanbieter haben die Schwachstelle gepatcht. Bei den EPYC 9000-Rechnern von HP war dies zum Zeitpunkt des Hacks jedoch noch nicht der Fall.
Raptoreum-Krypto basieren auf einer Proof-Of-Work-Architektur
Der EPYC-Server von HP scheint hier allerdings nur aus einem Grund durch Hacker ins Visier genommen worden zu sein, nämlich um Raptoreum (RTM) zu minen, eine CPU-basierte Kryptowährung. Das Raptoreum-Projekt gibt an, dass es sich um eine ASIC/FPGA-resistente Proof-of-Work-Kryptowährung handelt. Sie stützt sich auf ein Proof-of-Work (PoW)-Modell, das den GhostRider-Algorithmus nutzt. Ghostrider kombiniert die Algorithmen x16r und CryptoNight und passt besonders gut zu AMDs Cache-dichten Zen-Designs.
Während die Mainstream-CPUs Ryzen 9 5900X (12-Core) und 5950X (16-Core) mit 64 MB L3-Cache ausgestattet sind, verdoppeln die auf Zen 3 basierenden EPYC Milan-CPUs des Unternehmens diesen Cache auf 128 MB, was die Leistung und den Tagesertrag erhöht. Raptoreum profitiert von Prozessoren, die über viel Cache-Speicher verfügen.
Offenbar begann der Angriff der Hacker am 9. Dezember, als die Entwickler von Raptoreum einen ungewöhnlichen Anstieg der Hash-Rate bemerkten. Diese stieg von 200 MH/s auf 400 MH/s an, wobei eine Wallet-Adresse, zu der die HP-Server gehörten, zusätzliche 100–200 MH/s zum Raptoreum-Netzwerk beisteuerte. Die Aktion endete größtenteils am 17. Dezember. Sobald der Patch erschien, verschwanden die HP-Server aus dem Mining-System. Offensichtlich wurden sie ohne Zustimmung verwendet.
Während dieses Zeitraums konnten Hacker etwa 30 Prozent der gesamten Blockprämie erbeuten, d.h. etwa 3,4 Millionen Raptoreum (RTM), die zum 21. Dezember 2021 etwa 110.000 US-Dollar wert waren. Die Aktivität hat sich dann deutlich verlangsamt. Aktuell schürfen die Hacker noch aktiv auf einem einzigen Premium-Rechner. Dieser ist entweder noch nicht gepatcht oder dient möglicherweise als Honeypot.
Von den 3,4 Millionen Raptoreum-Token in der Wallet ließen sich die Hacker etwa 1,5 Millionen über CoinEx auszahlen. Die verbleibenden Vermögenswerte befinden sich gegenwärtig immer noch in der Wallet. Möglicherweise warten die Hacker auf eine spätere Aufwertung der Währung. Raptoreum befindet sich gerade in einer rückläufigen Bewegung.