It-säkerhetsföretaget Cyberbit fick i uppdrag att installera och driftsätta sitt system för skydd av datorer och analysera it-systemen på den icke namngivna flygplatsen. Det var under detta arbete som Cyberbit kom att upptäcka att över hälften av datorerna, servrar såväl som arbetsstationer, på flygplatsen var infekterade med XMRig, en typ av skadlig kod som gräver kryptovalutan Monero (XMR) genom att utnyttja resurserna på de infekterade datorerna, rapporterar Bleeping Computer.

Enligt Cyberbit var XMRig i drift på flygplatsens datorer i flera månader innan den upptäcktes med hjälp av ett system som analyserar beteenden och misstänkta aktiviteter. Detta trots att alla datorerna på flygplatsen var installerade med ett erkänt antivirus. Utöver att kryptogrävaren konsumerar systemresurser som cpu och minne, och onödig energi, verkar den inte ha påverkat flygplatsens system på ett skadligt sätt. Detta är också den gängse strategin för kryptogrävare, att ligga lågt.

XMRig upptäcktes för över ett år sedan, men trots det upptäcktes den inte av flygplatsens antivirus eftersom angriparna modifierat XMRig i tillräcklig grad för att undvika upptäckt. Ett test på tjänsten Virustotal visade att den skadliga koden identifierades av endast 16 av 73 antivirus.

Att Cyberbit kunde upptäcka infektionen berodde på att angriparna upprepade gånger startade PAExec, en variant av Microsofts legitima verktyg PsExec som används för att fjärr-exekvera processer på andra datorer. Verktyget användes av angriparna för att höja användarrättigheten och starta en binär som heter Player med administratörsrättigheter. På detta sätt kunde XMRig ges prioritet över alla andra användarprocesser, plus att de skadliga processerna blir svårare att upptäcka.

Angriparna använde också en teknik kallad Reflective DLL Injection som laddar dll:er i processer i minnet utan att passera hårddisken eller använda dll-laddaren i Windows, vilket minskar risken för upptäckt. Dessutom såg angriparna till att lägga in PAExec i Windows register så att det inte spelade någon roll om användarna startade om datorerna.

Hur angriparna lyckades få in XMRig på flygplatsens datorer till att börja med framgår inte, men det finns ett otal tekniker, exempelvis nätfiske, att tillgå. Det är flygplatsorganisationens smala lycka att angriparna ”bara” var ute efter att bryta kryptovaluta – med tankte på hur djupt angriparna penetrerat flygplatsens it-system hade de kunnat ställa till med enorm skada.

Läs också:
Så mycket tjänar kriminella på kryptokapningar
Ddos-attacker är ute – nu styr hackarna om sina botnät mot kryptokapning