С тех пор как компьютеры стали популярными, идёт борьба между разработчиками ПО и хакерами, пытающимися заработать на тех или иных уязвимостях. При этом противостояние не заканчивается, в обе стороны используют всё более совершенные методы. Например, ещё десять лет назад была популярна рассылка вредоносных файлов, которые блокировали доступ к компьютеру, вынуждая пользователей платить за секретный ключ сотни долларов. Со временем злоумышленники находили всё новых жертв, а сегодня наиболее популярным считается скрытый майнинг. Например, вы скачиваете программу с пиратского сайта, а вместе с ней к вам попадает небольшая утилита, подключающая вашу систему в большой сети. Вы никогда ни о чём не узнаете, ведь скрытый майнер будет использовать лишь часть вашего процессора, что позволит создать иллюзию полного контроля. А между тем создатели подобных зловредов неплохо зарабатывают.
Как стало известно, хакеры научились использовать популярный торрент-клиент qBitTorrent для скрытой добычи криптовалюты Monero. Информацией поделились представители ресурса TorrentFreak, рассказавшие детали происходящего. Напомним, Monero представляет собой криптовалюту, основанную на протоколе CryptoNote, с ориентацией на максимальную конфиденциальность транзакций. Она завоевала себе репутацию самой «преступной» криптовалюты, поскольку её анонимность позволяет преступникам получать оплату за незаконные товары без риска быть отслеженными правоохранительными органами. Один из пользователей GitHub с ником g0dsha уже столкнулся с данной угрозой. Произошло это месяц назад сразу же после установки qBitTorrent. Именно тогда пользователь стал замечать, что ПО сильно нагружает системные ресурсы и процессор. После внимательного изучения проблемы g0dsha обнаружил, что в фоновом режиме работает инструмент для майнинга Monero под названием xmrig.
В какой-то момент пользователь пришёл к выводу, что опасное программное обеспечение могло появиться в системе вместе с qBitTorrent поэтому обратился к разработчику проекта Proxmox VE Helper Scripts, через который он устанавливал торрент-клиент. Оказалось, что qBitTorrent, установленный на его компьютере, стал частью сети майнеров Monero. Майнеры скрыто внедряются в систему пользователей qBitTorrent из-за неправильной настройки веб-интерфейса. Proxmox VE (Virtual Environment) – это система виртуализации с открытым исходным кодом, основанная на Linux-дистрибутиве Debian. Она поддерживает контейнеризацию на базе LXC и полную виртуализацию с использованием гипервизора KVM. На GitHub замечен сторонний разработчик с никнеймом tteck, который создал специальные скрипты для упрощённой установки ПО в Proxmox VE с использованием LXC-контейнеров, что делает процесс доступным для новичков.
После дательного анализа g0dsha и tteck выяснили, что ни скрипты для установки ПО в контейнерах, ни разработчики qBitTorrent не имеют отношения к скрытой установке майнеров Monero. Основная проблема заключается в неправильной настройке qBitTorrent самими пользователями. Так, qBitTorrent управляется через веб-интерфейс, который можно открыть в любом браузере. По умолчанию qBitTorrent использует порт 8080 и UPnP (Universal Plug and Play) для автоматической настройки, позволяя управлять клиентом удалённо через интернет. Пользователи qBitTorrent могут установить пароль для защиты от несанкционированного доступа, но при первой настройке клиент не требует создания уникального и действительно надёжного пароля. В данном случае пользователь решил не менять стандартный логин и пароль «admin» и «adminadmin», что позволило злоумышленнику получить доступ к интерфейсу программы.
Напомним, qBitTorrent имеет функции автоматизации для загрузки и организации файлов, позволяя запускать внешние программы с параметрами командной строки при начале или завершении закачки торрент-файлов. Эта функциональность даёт злоумышленникам возможность внедрить вредоносное ПО на компьютер жертвы. Специалисты TorrentFreak уверены, что можно было избежать этой атаки, отключив UPnP в настройках роутера и изменив стандартный пароль. qBitTorrent представляет собой кроссплатформенный клиент файлообменной сети BitTorrent, созданный Кристофом Дюме в 2006 году. Разработчики позиционируют его как свободную альтернативу популярному торрент-клиенту uTorrent. Код qBitTorrent написан на C++ и распространяется по лицензии GPLv2+. Графический интерфейс создан с использованием библиотеки Qt, а веб-интерфейс основан на Ajax.