Hva er Cryptojacking? Hvordan Crypto Mining nettsteder bruker CPUen din i hemmelighet
Fremveksten av cryptojacking overrasket ikke de i krypto- og sikkerhetsverdenene. Faktisk var den eneste overraskende tingen hvor lang tid det tok ondsinnede skuespillere å bruke cryptojacking for å utvinne for kryptovaluta.
Da kryptovalutabommen tok tak i slutten av 2017, økte også en plutselig økning ondsinnede cryptojacking-hendelser.
De fenomenale toppene i kryptovalutabommen er for lengst borte; kryptovalutamarkeder er noe stabile, om enn fremdeles uforutsigbare. Har den reduserte prisen vært korrelert med en reduksjon i cryptojacking-hendelser? Forholder de seg i det hele tatt? Her er hva du trenger å vite.
Hva er Cryptojacking?
Cryptojacking er helhetsuttrykket gitt til et ondsinnet angrep der intetanende brukere får kapret systemhardware for å utvinne kryptovaluta. Den grunnleggende forutsetningen for et cryptojacking-nettleserangrep er:
- En intetanende bruker lander på en kompromittert webside.
- Nettsiden har en liten bit JavaScript som inneholder cryptojacking-koden.
- Kryptojacking-koden kaprer system-CPU og bruker den gruvedrift-kryptokurrency, vanligvis Monero.
- I noen tilfeller åpner JavaScript et minimert, skjult nettleservindu. Når brukeren forlater nettstedet, fortsetter den ulovlige kryptodriften.
- Imidlertid slutter de fleste cryptojacking-angrep når nettsidefanen lukkes.
Cryptojacking er ikke bare nettleserbasert. Det er flere typer skadelig programvare der ute som vil utvinne kryptovaluta etter å ha smittet systemet. Mest skadelig programvare prøver å være stille, men cryptojacking malware er mer lydløs enn de fleste. Jo lenger en cryptojacking malware-variant kan være stille, jo større er potensiell belønning for angriperen.
Cryptojacking er altså tyveri. De intetanende brukerne taper ikke penger, men de mister systemressurser for å styrke andres økonomiske gevinst. Og mens cryptojacking er skadelig, etterlater det ikke langvarig skade på målsystemet, til tross for at CPU kjører på maksimal eller nesten maksimal kapasitet i kort tid.
Hvorfor bruker Cryptojacking systemressurser?
Cryptocurrency vokser ikke på trær. Nei, den vokser på servere og venter på at de rette gruvearbeiderne skal komme sammen og slippe den. Cryptojacking-skript bruker primært system-CPU for å gjøre dette.
Kryptonettverk administrerer transaksjoner gjennom blockchain. Hver nettverkstransaksjon legges til i en blokk. Blokken distribueres til et nettverk av tilkoblede gruvearbeidere for verifisering. Hver gruvearbeider har en kopi av den kryptovaluta-spesifikke blockchain og kan validere og behandle transaksjoner for det nettverket.
Når den nye blokken ankommer, behandler gruvesystemet komplekse ligninger for å verifisere blokkinnholdet. Ved verifisering legger blokken til blockchain, og gruvearbeiderne mottar en utbetalingsbelønning for sin innsats. For Bitcoin er belønningen 12,5 BTC, delt mellom den som bidrar.
Nøkkelen til krypto-gruvesuksess er hastighet og prosessorkraft. Hvor raskt kan systemet verifisere transaksjonene i blokken? Bitcoin-gruvedrift er i det vesentlige ubrukelig for alle som ikke bruker spesialisert kryptomining-maskinvare. Det store volumet av gruvedrift drukner ganske enkelt ut en liten stasjonær datamaskin.
Hvis ikke Bitcoin, hva bryter de??
Selv da Bitcoin-prisen falt fra det beryktede $ 19.000-merket tilbake mot sine nåværende topper og kummer, er Bitcoin-gruvedrift utilgjengelig. Videre bruker Ethereum og ERC-20-baserte tokens GPUer til å utvide kryptovalutaer. Så akkurat hva prøver kryptojakkerne å bryte?
For det meste er nettleserens cryptojacking-skript og cryptojacking malware gruvedrift Monero. Den lette, personvernet og anonymitetsfokuserte kryptovalutaen er lettere å utvinne at Bitcoin og teoretisk gir kryptominingstyverne beskyttelse etter det faktum. Men ikke alt. Når du vil lese lenger ned i artikkelen, er det flere avanserte kryptojacking-trusler som min Bitcoin.
Men selv om Monero er uendelig lettere å bryte enn Bitcoin, krever det fortsatt rå datakraft. Rå datakraft krever investering i maskinvare. Og la oss innse det, hvis gruvetyvene kan stjele maskinvaren med et lite stykke JavaScript, hvorfor skulle de ikke prøve å maksimere fortjenesten?
JavaScript Cryptojacking
Det første utbredte cryptojacking-JavaScriptet kom fra CoinHive, et selskap som ønsker å endre hvordan vi samhandler med internett og reklameoverskuddet som egentlig understøtter alt som skjer.
CoinHives visjon var at autorisert kryptodrift skulle erstatte reklame. Nettsteder kan fortsatt tjene penger basert på sidevisninger og tiden som brukes på nettstedet, og brukere kan unngå annonser uten å føle seg forferdelig for å bruke en adblocker (og dermed egentlig frarøve innholdsskapere deres rettferdige avgifter).
Det beryktede pirat- og torrentområdet, The Pirate Bay, var en av de første som eksperimenterte med CoinHive-modellen.
Dessverre tok det ikke lang tid før ondsinnede skuespillere innså at de lett kunne gjenbruke CoinHives gruvedrift for mer skumle midler. Det opprinnelige skriptet har en prosessorkommando for CPU-gruvedrift. Opprinnelig satt til 30%, slik at brukerne lykkelig kunne fortsette å bruke nettleseren sin, kryptojakkere bumpet dette opp til hele 100% på alle kjerner, for å maksimere fortjenesten for den antagelig korte tiden de fleste brukere drøyer på en ondsinnet destinasjonsside.
For å være rettferdig mot CoinHive, skjønte de hva som foregikk og ga ut en oppdatering av skriptet. Den nyere versjonen, kjent som AuthedMine, gir brukerne muligheten til å velge krypto-gruvedrift-prosessen, og gjenvinne sin fredelige og originale hensikt som et reklamealternativ. Når det er sagt, er opt-out fortsatt opt-out. Det vil si at eiere av nettsteder ikke trenger å bruke AuthedMine, og de er ikke forpliktet til å informere deg om hva som spiser CPUen din i live.
Cryptojacking Evolution
Cryptojacking utvikler seg. Som alle lønnsomme og stort sett risikofrie cyberangrep, vil ondsinnede aktører alltid ha større gevinster for investeringene sine og er forberedt på å flytte cryptojacking fremover for å gjøre det.
- I de første dagene av cryptojacking var en av de enkleste metodene for å øke fortjenesten å bruke en omdirigeringssløyfe. Intetanende ofre sendes gjennom en rekke websider før de lander på en som har et krypto-mining-skript installert.
- En annen allerede nevnte teknikk er å åpne et nytt nettleservindu som minimeres og skjules bak oppgavelinjen. Minuttet nettleservindu er skjult bak systemklokken og er så “gratis” for å kjøre til brukeren merker at noe er på gang.
- Noen nettleserutvidelser ble funnet å skjule kryptomining-skript uten å varsle brukeren. Noen utvidelser ble stjålet fra utviklerne, fikk kryptojacking-skriptet injisert, og ble deretter lastet opp på nytt eller oppdatert til utvidelsesbutikken. (Faktisk forbød Google raskt alle Chrome-utvidelser som misbrukte cryptojacking-skript.)
Men det er ikke alt. Hjemmebrukere har datamaskiner med relativt lav effekt. De som kjører cryptojacking-kampanjer innså raskt at det er større cryptojacking-fisk å steke: bedrifter med kraftige superdatamaskiner.
I februar 2018 kunngjorde produsenten av elektriske biler Tesla at de var ofre for et cryptojacking-angrep. RedLock Cloud Security Intelligence avslørt at en sårbar Kubernetes administrasjonskonsoll avslørte påloggingsinformasjon for et Tesla Amazon Web Service-miljø, og hackerne vendte umiddelbart den enorme datakraften til kryptodrift. Britisk forsikringsleverandør, Aviva, og det internasjonale digitale sikkerhetsfirmaet, Gemalto, ble også stygt med den samme kryptojacking-sårbarheten.
Andre rapporter tyder på at allerede sårbare Internet of Thing-enheter også er et hovedmål for cryptojacking. De Fortinet Threat Landscape Report [PDF] fant at 23 prosent av respondentene ble utsatt for cryptojacking malware. IoT-enheter er et attraktivt, enkelt mål på grunn av dårlig sikkerhet, stort volum og alltid på-status.
Cryptojacking er ikke det eneste angrepet som kryptobrukere og hodlers trenger å merke seg. Et SIM-bytteangrep skifter SIM-kortet til andres smarttelefon – der de rydder ut kryptokontoene dine. Slik beskytter du mot et SIM-bytteangrep.
Cryptojacking Malware Explosion
Imidlertid bidrar andre sikkerhetslekkasjer også til kryptojackinglandskapet. Husker du den enorme WannaCry-løsemassen i 2017? WannaCry var det direkte resultatet av en frigjort trove av tidligere ukjente null-dagers bedrifter som NSA utviklet og samlet skjult. The Shadow Brokers, en hackinggruppe med påståtte bånd til den russiske regjeringen, lekket utallige utnyttelser, inkludert EternalBlue (også utformet ETERNALBLUE) som var avgjørende for å spre WannaCry-løsepenger i et så raskt tempo.
Hackere over hele verden legger merke til når et verktøy forårsaker en slik ødeleggelse (bare lagret av sikkerhetsforsker Marcus Hutchins, aka MalwareTech, som nå står overfor en rekke påstander om hacking i USA). Kombiner EternalBlue med en skadelig nyttelast som bryter ut kryptovaluta og bratsj: plutselig har vi WannaMine. WannaMine ble først plukket opp av Panda Security og er, i likhet med sin kusine til løsepenger, ekstremt vanskelig å oppdage og blokkere.
Nation-State Cryptojacking Malware-kampanjer
Men det er ikke bare “vanlige” hackere som bruker cryptojacking malware. Den nordkoreanske statsstøttede hackinggruppen, Lazarus (av Sony hack infamy), satte en cryptojacking-trojan til å arbeide mot flere høyprofilerte bankinstitusjoner. Bortsett fra den bemerkelsesverdige direkte målrettingen av bank- og finansorganisasjoner, angriper Lazarus “AppleJeus” nesten unikt målrettede macOS-systemer, med en Linux-utnyttelse som sies å være i utvikling.
Videre, siden det antagelig moderat vellykkede AppleJeus-angrepet, er Lazarus direkte knyttet til Ryuk-cryptojacking-skadelig programvare som i skrivende stund hadde stjålet over $ 600.000. Det er ikke bare outlandish spekulasjoner; Ryuk cryptojacking-malware bærer kjennetegn på Lazarus-gruppen Hermes malware-variant (den samme varianten som ble brukt til å distrahere sikkerhetstjenester under forsøket på $ 60 millioner heist på Taiwans Far Eastern International Bank). Ryuk-skadelig programvare er interessant fordi målene ser ut til å være håndplukket. Det vil si at hver løsepenger er forskjellig, stiller en annen etterspørsel, og så videre. En personlig tjeneste, nesten.
Vil Cryptojacking bli verre?
Vel, frekvensen av kryptojacking er direkte knyttet til prisen på kryptovalutaer, som du kanskje forventer. Fortinet Threat Landscape Report (lenket ovenfor) illustrerer dette med følgende diagram:
Etter hvert som prisen på Bitcoin falt, gjorde også hendelsene med kryptojacking.
Andre rapporter gir imidlertid ikke den samme positive informasjonen. De McAfee Labs Threats Report juni 2018 [PDF] oppgir at “antall totale mynter som skadet mynter økte med 629% i 1. kvartal, til mer enn 2,9 millioner prøver.” Rapporten utdyper videre, og bekrefter at i sammenligning med “veletablerte nettkriminalitetsaktiviteter som datatyveri og ransomware, er cryptojacking enklere, mer rettferdig og mindre risikabelt.”
I det kan du se appellen til nettleserbaserte varianter av cryptojacking og cryptojacking malware, spesielt i forhold til andre økonomisk motiverte angrep. Ransomware krever innledende investering for å spre infeksjonen til nok ofre, mens ofre fortsatt har muligheten til å ignorere løsepenger og ikke betale, spesielt hvis offeret ofte tar systembackups.
Cryptojacking går ingen steder. Og hvis kryptovalutaprisene begynner å stige for alvor, kan du forvente at det vises mer skadelig programvare.
Cryptojacking er ikke den eneste kryptobaserte svindelen. Her er fem kryptovaluta-svindel og svindel du kan unngå.