Приманка для злоумышленников: сервер с уязвимой версией базы данных Redis

Вирусные аналитики компании «Доктор Веб» выявили новую модификацию руткита, устанавливающую на скомпрометированные машины с ОС Linux троян-майнер Skidmap. Этот руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. Данная атака является массовой и направлена преимущественно на корпоративный сектор — крупные серверы и облачные среды, — так как именно с подобными ресурсами эффективность майнинга будет максимальной.

Система управления базами данных Redis является одной из самых популярных в мире: серверы Redis используются такими крупными компаниями как Х (ранее Twitter), AirBnB, Amazon и др. Преимущества системы очевидны: максимальное быстродействие, минимальные требования к ресурсам, поддержка различных типов данных и языков программирования. Однако у данного продукта есть и минусы: поскольку изначальное применение Redis не предполагало его установку на сетевой периферии, в конфигурации по умолчанию поддерживаются только базовые функции обеспечения безопасности, а в версиях до 6.0 отсутствуют механизмы контроля доступа и шифрования. Кроме того, ежегодно в профильных СМИ появляются сообщения о выявлении в Redis уязвимостей. Например, в 2023 году их было зафиксировано 12, три из которых имели статус «Серьезные». Участившиеся сообщения о компрометации серверов с последующей установкой программ для майнинга заинтересовали специалистов вирусной лаборатории «Доктор Веб», у которых возникло желание непосредственно пронаблюдать за данной атакой. Для этого было принято решение запустить свой сервер Redis с отключенной защитой и ждать непрошеных гостей. В течение года ежемесячно на сервер предпринимались от 10 до 14 тысяч атак, а