Il n’a pas fallu longtemps aux pirates pour militariser une vulnérabilité Java critique à des fins lucratives. À l’aide de l’exploit Log4J, un acteur non identifié a réussi à prendre le contrôle des serveurs HP 9000 EPYC basés sur AMD, transformant le matériel puissant en mineurs de crypto-monnaie. L’exploit a provoqué un doublement du taux de hachage de la crypto-monnaie Raptoreum (RTM) basée sur le processeur de 200 MH/s à 400 MH/s avant que la plupart des machines exploitées ne soient mises hors ligne.
Log4J est une vulnérabilité Java récemment découverte dans le cadre de la célèbre suite Apache et méritait la classification de menace la plus élevée possible (10) selon les directives « CVSS 3.0 ». En effet, l’exploit ne nécessite pas d’accès physique et permet une élévation des privilèges pour inciter le système à se connecter, à télécharger et à exécuter des logiciels malveillants à partir d’un serveur contrôlé par des pirates. Plusieurs fournisseurs de logiciels ont corrigé la vulnérabilité, mais ce n’était pas le cas pour les machines EPYC 9000 de HP.
Le serveur EPYC de HP semble avoir été ciblé pour une seule raison : pour exploiter Raptoreum (RTM), une crypto-monnaie basée sur un processeur basée sur un modèle de preuve de travail (PoW) qui exploite l’algorithme GhostRider. Ghostrider combine les algorithmes x16r et CryptoNight et joue particulièrement bien avec les conceptions Zen à cache dense d’AMD. Et tandis que les Ryzen 9 5900X (12 cœurs) et 5950X (16 cœurs) grand public d’AMD disposent tous deux de 64 Mo de cache L3, les processeurs EPYC Milan basés sur Zen 3 de la société doublent cela à 128 Mo, augmentant les performances et les revenus quotidiens. Les prochains processeurs Milan-X EPYC d’AMD devraient être commercialisés au 2e trimestre 2022. Les processeurs augmenteront la taille du cache L3 à 768 Mo en exploitant le 3D V-Cache – on ne peut qu’imaginer le type de taux de hachage que le prochain silicium sera capable de déverrouiller.
Les développeurs de Raptoreum ont d’abord noté une augmentation inhabituelle du taux de hachage à partir du 9 décembre. Alors que le nombre de machines contribuant à Raptoreum n’a cessé d’augmenter, le 9 décembre a vu un bond anormal du taux de hachage du réseau de ses 200 MH/s typiques jusqu’à un doublement littéral, à 400 MH/s – avec l’augmentation provenant d’un seul portefeuille. adresse.
Dans une déclaration à EIN News, un développeur de premier plan de Raptoreum a expliqué que « Au cours de l’attaque, de nombreux serveurs ont été violés, chacun produisant une quantité importante de puissance de hachage sur des équipements de serveur très haut de gamme. Très peu d’organisations dans le monde ont la main dessus. type de matériel, ce qui rend extrêmement improbable que l’attaque ait été effectuée à l’aide du propre matériel de l’individu. Grâce à une enquête privée, il existe maintenant des preuves solides qui suggèrent que le matériel du serveur Hewlett-Packard 9000 EPYC a été utilisé pour extraire les pièces Raptoreum. «
« Nous avons découvert que les mineurs qu’ils utilisaient avaient tous reçu des surnoms HP et ont tous été arrêtés brusquement, ce qui renforce la spéculation sur une violation de l’entreprise, suivie d’un correctif des serveurs. L’exploitation minière Log4J Raptoreum a commencé le 9 décembre jusqu’à ce qu’elle se termine principalement le 17 décembre. Au cours de cette période, les pirates ont pu collecter environ 30% de la récompense totale du bloc, soit environ 3,4 millions de Raptoreum (RTM), d’une valeur d’environ 110 000 USD au 21/12/2021. Bien que l’activité ait considérablement diminué, elle exploite activement pour aujourd’hui sur ce qui semble toujours être une seule machine premium qui n’a pas été corrigée. »
Sur les 3,4 millions de jetons Raptoreum détenus dans le portefeuille, les pirates ont réussi à en déplacer environ 1,5 million, en les encaissant via l’échange CoinEx. Les 1,7 million de jetons restants sont restés inactifs – attendant peut-être une action positive sur les prix avant d’encaisser les bénéfices potentiels. Fait intéressant, la valorisation de Raptoreum n’est pas affectée par l’action soudaine du portefeuille – qui aurait figuré dans le top 20 des portefeuilles à la barre des 3,4 millions de RTM.