Исследователь в области безопасности в прошлом месяце обнаружил схему добычи криптовалюты на веб-сервере, управляемом Министерством обороны США. Индийский исследователь безопасности, Нитеш Сурана (Nitesh Surana), раскрыл эксплойт 4 января на странице bug bounty Министерства обороны. Он обнаружил, что доступ к серверу возможен без пароля. «Основное влияние этой уязвимости заключается в том, что злоумышленник может эксплуатировать критически важные внутренние компоненты сервера и получать к ним доступ», - написал Сурана в своем отчете для Министерства Обороны. В результате злоумышленник может выполнять удаленные команды на сервере через язык программирования Java, загружая любой файл по своему усмотрению. В этом случае злоумышленник загрузил файл, который атаковал сервер и дал ему полный контроль: «В дальнейшем это может привести к утечке критической информации и другим непредвиденным событиям, поскольку атакующий может манипулировать объектом с помощью своих навыков», - говорит Сурана. Похоже, что кто-то воспользовался уязвимостью для установки ботнета для добычи Monero. Неясно, сколько они заработали, но после того как Сурана разместил доказательства в поддержку его утверждений, Министерство обороны быстро взяло под контроль систему и отключило её 21 января. Это не первый раз, когда кто-то использовал государственный аппарат для добычи криптовалюты. В прошлом году сотрудники российского предприятия по производству ядерных боеголовок были оштрафованы за незаконное использование суперкомпьютера департамента для майнинга Bitcoin. Его компьютер имеет мощность одного петафлопса, равную тысяче триллионов транзакций в секунду. Источник: Crypto mining botnet found on Defense Department web server Перевод: TheFuzzStone (@TheFuzzStone) Редактирование: Agent LvM (@LvMi4) Коррекция: Kukima (@Kukima)