Co to jest Cryptojacking? Jak strony internetowe Crypto Mining potajemnie wykorzystują Twój procesor
Pojawienie się cryptojackingu nie zaskoczyło osób ze świata kryptowalut i bezpieczeństwa. W rzeczywistości jedyną zaskakującą rzeczą był być może czas, jaki zajęło złośliwym aktorom wykorzystanie cryptojackingu do wydobywania kryptowaluty.
Wraz z boomem na kryptowaluty pod koniec 2017 r. Nastąpił nagły wzrost złośliwe incydenty związane z cryptojackingiem.
Fenomenalne szczyty boomu na kryptowaluty dawno minęły; rynki kryptowalut są dość stabilne, choć nadal nieprzewidywalne. Czy obniżona cena korelowała ze spadkiem liczby incydentów związanych z cryptojackingiem? Czy w ogóle się ze sobą wiążą? Oto, co musisz wiedzieć.
Co to jest Cryptojacking?
Cryptojacking to ogólny termin określający złośliwy atak, w ramach którego niczego nie podejrzewający użytkownicy zostają przejęci sprzęt systemowy w celu wydobycia kryptowaluty. Podstawowym założeniem ataku przeglądarki cryptojacking jest:
- Niczego nie podejrzewający użytkownik trafia na zaatakowaną stronę internetową.
- Strona internetowa zawiera mały fragment JavaScript zawierający kod cryptojackingu.
- Kod cryptojacking przejmuje procesor systemowy i wykorzystuje go do wydobywania kryptowaluty, zwykle Monero.
- W niektórych przypadkach JavaScript otwiera zminimalizowane, ukryte okno przeglądarki. Gdy użytkownik opuszcza witrynę, nielegalne kopanie kryptowalut trwa.
- Jednak większość ataków cryptojacking kończy się po zamknięciu zakładki witryny.
Cryptojacking to nie tylko przeglądarka. Istnieje kilka rodzajów złośliwego oprogramowania, które będzie wydobywać kryptowalutę po zainfekowaniu systemu. Większość złośliwego oprogramowania próbuje milczeć, ale złośliwe oprogramowanie do kryptowalut jest cichsze niż większość. Im dłużej wariant złośliwego oprogramowania cryptojackingowego może pozostać cichy, tym większa potencjalna nagroda dla atakującego.
Cryptojacking to więc kradzież. Niczego nie podejrzewający użytkownicy nie tracą bezpośrednio pieniędzy, ale tracą zasoby systemowe, aby zasilić czyjeś zyski finansowe. I chociaż cryptojacking jest złośliwy, nie pozostawia żadnych długoterminowych szkód w systemie docelowym, mimo że procesor działa z maksymalną lub prawie maksymalną wydajnością przez krótki czas.
Dlaczego Cryptojacking wykorzystuje zasoby systemowe?
Kryptowaluta nie rośnie na drzewach. Nie, rośnie na serwerach, czekając na pojawienie się odpowiednich górników i wydanie go. Skrypty Cryptojacking wykorzystują do tego przede wszystkim procesor systemowy.
Sieci kryptograficzne zarządzają transakcjami za pośrednictwem łańcucha bloków. Każda transakcja sieciowa jest dodawana do bloku. Blok jest dystrybuowany do sieci połączonych górników w celu weryfikacji. Każdy górnik ma kopię łańcucha blokowego specyficznego dla kryptowaluty i może weryfikować i przetwarzać transakcje w tej sieci.
Kiedy pojawia się nowy blok, system górnika przetwarza złożone równania, aby zweryfikować zawartość bloku. Po weryfikacji blok dodaje do łańcucha blokowego, a górnicy otrzymują nagrodę za swoje wysiłki. W przypadku Bitcoin, nagroda wynosi 12,5 BTC, dzielone między każdego, kto wnosi wkład.
Kluczem do sukcesu w kopaniu kryptowalut jest szybkość i moc obliczeniowa. Jak szybko Twój system może zweryfikować transakcje w ramach bloku? Wydobywanie bitcoinów jest zasadniczo bezużyteczne dla każdego, kto nie korzysta ze specjalistycznego sprzętu do wydobywania kryptowalut. Ogrom mocy wydobywczej po prostu zagłusza mały domowy komputer stacjonarny.
Jeśli nie Bitcoin, to co oni wydobywają?
Nawet gdy cena bitcoinów spadła z zawrotnego poziomu ponad 19 000 USD w kierunku obecnych szczytów i dołków, wydobywanie bitcoinów jest niedostępne. Ponadto tokeny oparte na Ethereum i ERC-20 używają procesorów graficznych do wydobywania kryptowalut. Co więc próbują wydobywać cryptojackerzy?
W większości przypadków skrypty do cryptojackingu przeglądarki i złośliwe oprogramowanie do kryptowalut wydobywają Monero. Lekka, skoncentrowana na prywatności i anonimowości kryptowaluta jest łatwiejsza do wydobycia niż Bitcoin i teoretycznie zapewnia złodziejom kryptowalut ochronę po fakcie. Ale nie wszystko. Jak przeczytasz w dalszej części artykułu, kilka zaawansowanych zagrożeń kryptowalutowych wydobywa Bitcoin.
Ale mimo że Monero jest nieskończenie łatwiejsze do wydobycia niż Bitcoin, nadal wymaga surowej mocy obliczeniowej. Surowa moc obliczeniowa wymaga inwestycji w sprzęt. I spójrzmy prawdzie w oczy, jeśli złodzieje górnictwa mogą ukraść sprzęt za pomocą małego kawałka JavaScript, dlaczego nie mieliby próbować maksymalizować zysków?
JavaScript Cryptojacking
Pierwszy szeroko rozpowszechniony kod JavaScript do cryptojackingu pochodzi od CoinHive, firmy, która chce zmienić sposób, w jaki wchodzimy w interakcję z Internetem i zyski z reklam, które są podstawą wszystkiego, co się dzieje.
Wizją CoinHive było autoryzowane kopanie kryptowalut w celu zastąpienia reklam. Strony internetowe mogą nadal zarabiać na podstawie wyświetleń stron i czasu spędzonego w witrynie, a użytkownicy mogliby unikać reklam bez poczucia okropności korzystania z adblockera (a tym samym zasadniczo okradania twórców treści z ich godziwych opłat).
Niesławna strona piracka i torrentowa, The Pirate Bay, była jedną z pierwszych, które eksperymentowały z modelem CoinHive.
Niestety, nie minęło dużo czasu, zanim złośliwi aktorzy zdali sobie sprawę, że mogą z łatwością zmienić przeznaczenie skryptu wydobywczego CoinHive na bardziej nikczemne środki. Oryginalny skrypt zawiera polecenie procentowe wykorzystania procesora. Pierwotnie ustawione na 30%, aby użytkownicy mogli z radością kontynuować korzystanie z przeglądarki, cryptojackerzy podbili to do pełnych 100% na wszystkich rdzeniach, aby zmaksymalizować zyski przez przypuszczalnie krótki czas, który większość użytkowników pozostaje na złośliwej stronie docelowej.
Aby być uczciwym wobec CoinHive, zdali sobie sprawę, co się dzieje i wydali aktualizację swojego skryptu. Nowsza wersja, znana jako AuthedMine, oferuje użytkownikom możliwość wyrażenia zgody na proces wydobywania kryptowalut, odzyskując swój pokojowy i oryginalny cel jako alternatywę reklamową. To powiedziawszy, rezygnacja nadal oznacza rezygnację. Oznacza to, że właściciele witryn nie muszą korzystać z AuthedMine i nie mają obowiązku informowania Cię o tym, co zjada Twój procesor..
Cryptojacking Evolution
Cryptojacking ewoluuje. Podobnie jak wszystkie dochodowe i w dużej mierze wolne od ryzyka ataki cybernetyczne, złośliwi aktorzy zawsze chcą większych zysków ze swoich inwestycji i są przygotowani do przesunięcia cryptojackingu do przodu, aby to zrobić.
- We wczesnych dniach cryptojackingu jedną z najłatwiejszych metod zwiększania zysków było użycie pętli przekierowań. Niczego nie podejrzewające ofiary są wysyłane przez kilka stron internetowych, zanim trafią na taką, która ma zainstalowany skrypt do wydobywania kryptowalut.
- Inną wspomnianą już techniką jest otwieranie nowego okna przeglądarki, które jest zminimalizowane i ukryte za paskiem zadań. Minutowe okno przeglądarki jest ukryte za zegarem systemowym i można je uruchomić, dopóki użytkownik nie zauważy, że coś się dzieje.
- Stwierdzono, że niektóre rozszerzenia przeglądarki ukrywają skrypty wydobywające kryptowaluty bez powiadamiania użytkownika. Niektóre rozszerzenia zostały skradzione ich twórcom, wstrzyknięto im skrypt cryptojackingu, a następnie ponownie załadowano lub zaktualizowano do magazynu rozszerzeń. (W rzeczywistości Google szybko zakazał wszystkich rozszerzeń Chrome nadużywających skryptów cryptojacking).
Ale to nie wszystko. Użytkownicy domowi mają komputery o stosunkowo niskim poborze mocy. Osoby prowadzące kampanie cryptojackingowe szybko zorientowały się, że można usmażyć większe ryby do tego typu: przedsiębiorstwa z potężnymi super-komputerami.
W lutym 2018 roku producent pojazdów elektrycznych Tesla ogłosił, że padł ofiarą ataku cryptojacking. RedLock Cloud Security Intelligence ujawnił że wrażliwa konsola administracyjna Kubernetes ujawniła dane logowania do środowiska Tesla Amazon Web Service, a hakerzy natychmiast zamienili ogromną moc obliczeniową na kopanie kryptowalut. Brytyjski dostawca ubezpieczeń, Aviva i międzynarodowa firma zajmująca się bezpieczeństwem cyfrowym Gemalto, również narazili się na tę samą lukę w zabezpieczeniach cryptojackingu.
Inne raporty sugerują, że już podatne na ataki urządzenia Internetu Rzeczy są również głównym celem cryptojackingu. Plik Raport o zagrożeniach firmy Fortinet [PDF] ustalił, że 23 procent respondentów było narażonych na złośliwe oprogramowanie cryptojacking. Urządzenia IoT są atrakcyjnym, łatwym celem ze względu na ich słabe bezpieczeństwo, ogromną objętość i stały status.
Cryptojacking nie jest jedynym atakiem, na który użytkownicy i hodowcy kryptowalut powinni zwrócić uwagę. Atak polegający na zamianie karty SIM powoduje zamianę Twojej karty SIM na smartfon innej osoby – gdzie ta osoba czyści Twoje konta kryptograficzne. Oto jak chronisz się przed atakiem polegającym na zamianie karty SIM.
Cryptojacking Malware Explosion
Jednak inne wycieki bezpieczeństwa również wpływają na krajobraz cryptojackingu. Pamiętasz ogromnego ransomworma WannaCry z 2017 roku? WannaCry był bezpośrednim wynikiem uwolnionego zbioru wcześniej nieznanych exploitów zero-day, które NSA opracowała i potajemnie zgromadziła. The Shadow Brokers, grupa hakerska mająca rzekome powiązania z rosyjskim rządem, ujawniła liczne exploity, w tym EternalBlue (również w stylu ETERNALBLUE), który był kluczowy w rozprzestrzenianiu ransomworma WannaCry w tak szybkim tempie.
Hakerzy na całym świecie zauważają, że narzędzie powoduje takie zniszczenia (uratowane tylko przez badacza bezpieczeństwa Marcusa Hutchinsa, znanego również jako MalwareTech, który teraz spotyka się z szeregiem zarzutów hakerskich w USA). Połącz EternalBlue z ładunkiem złośliwego oprogramowania, który wydobywa kryptowalutę i altówkę: nagle mamy WannaMine. WannaMine został po raz pierwszy odebrany przez Panda Security i, podobnie jak jego kuzyn okupanta, jest niezwykle trudny do wykrycia i zablokowania.
Kampanie złośliwego oprogramowania Cryptojacking w poszczególnych stanach
Ale to nie tylko „zwykli” hakerzy używają złośliwego oprogramowania do kryptowalut. Sponsorowana przez państwo północnokoreańska grupa hakerów Lazarus (hakera Sony) umieściła trojana cryptojackingowego, aby działał przeciwko kilku renomowanym instytucjom bankowym. Oprócz godnego uwagi bezpośredniego kierowania na organizacje bankowe i finansowe, atak Lazarus „AppleJeus” był niemal wyjątkowo ukierunkowany na systemy macOS, z wykorzystaniem exploita dla systemu Linux, o którym mówi się, że jest w fazie rozwoju..
Co więcej, od czasu przypuszczalnie umiarkowanie udanego ataku AppleJeus, Lazarus jest bezpośrednio powiązany ze szkodliwym oprogramowaniem Ryuk cryptojacking, które w czasie pisania tego artykułu ukradło ponad 600 000 dolarów. To nie są tylko dziwaczne spekulacje; Ryuk cryptojacking nosi znamiona wariantu złośliwego oprogramowania Hermes należącego do grupy Lazarus (tego samego wariantu, który odwracał uwagę służb bezpieczeństwa podczas próby napadu na Tajwan Dalekowschodni Międzynarodowy Bank za 60 milionów dolarów). Szkodliwe oprogramowanie Ryuk jest interesujące, ponieważ cele wydają się być wybierane ręcznie. Oznacza to, że każda nota okupu jest inna, zawiera inne żądanie i tak dalej. Prawie usługa osobista.
Czy cryptojacking się pogorszy??
Cóż, wskaźnik cryptojackingu jest bezpośrednio powiązany z ceną kryptowalut, jak można się spodziewać. Raport o zagrożeniach firmy Fortinet (link powyżej) ilustruje to na poniższym wykresie:
Wraz ze spadkiem ceny Bitcoin spadły również incydenty związane z cryptojackingiem.
Jednak inne raporty nie zawierają tych samych skrajnych pozytywnych informacji. Plik Raport McAfee Labs o zagrożeniach, czerwiec 2018 r [PDF] podaje, że „całkowita liczba szkodliwych programów do kopania monet wzrosła o 629% w pierwszym kwartale, do ponad 2,9 miliona próbek”. Raport rozwija dalej, potwierdzając, że w porównaniu z „ugruntowanymi działaniami związanymi z cyberprzestępczością, takimi jak kradzież danych i oprogramowanie ransomware, cryptojacking jest prostszy, prostszy i mniej ryzykowny”.
Widać na tym atrakcyjność wariantów złośliwego oprogramowania do cryptojackingu i cryptojackingu opartego na przeglądarce, zwłaszcza w porównaniu z innymi atakami motywowanymi finansowo. Oprogramowanie ransomware wymaga początkowej inwestycji, aby rozprzestrzenić infekcję na wystarczającą liczbę ofiar, podczas gdy ofiary nadal mają możliwość zignorowania okupu i nie płacenia, zwłaszcza jeśli ofiara często wykonuje kopie zapasowe systemu.
Cryptojacking nigdzie nie idzie. A jeśli ceny kryptowalut zaczną poważnie rosnąć, spodziewaj się pojawienia się więcej złośliwego oprogramowania.
Cryptojacking nie jest jedynym oszustwem opartym na kryptowalutach. Oto pięć kolejnych oszustw związanych z kryptowalutami, których możesz uniknąć.