CyberbezpieczeństwoPolecane tematy
Co warto wiedzieć o atakach typu cryptojacking?
Istotą ataków typu cryptojacking jest kradzież mocy obliczeniowej. Zagrożenia tego typu mogą być wymierzone praktycznie we wszystkie rodzaje urządzeń podłączonych do Internetu – od urządzeń przenośnych, przez komputery osobiste, po serwery. Jedynie mniej wydajne urządzenia mogą być jeszcze uznawane za względnie bezpieczne. Sieci botnetów budowane przez cyberprzestępców przy wykorzystaniu cryptojackingu są bowiem najczęściej wykorzystywane do kopania kryptowalut.
Zdaniem ekspertów cryptojacking staje się obecnie coraz popularniejszy, ponieważ dla cyberprzestępców okazuje się skutecznym sposobem generowania przychodów, przy relatywne niskim ryzyku wykrycia. Urządzenia końcowe wykorzystywane do tworzenia botnetów wyspecjalizowanych w kopaniu kryptowalut są najczęściej atakowane poprzez przeglądarkę internetową – w kodzie niezabezpieczonych witryn internetowych cyberprzestępcy umieszczają własny kod, który korzystając z zasobów urządzenia za pośrednictwem przeglądarki jest wykorzystywany na potrzeby kopania kryptowalut. Objawem zainfekowania jest najczęściej wysokie użycie procesora i spowolnienie działania zakratkowanego urządzenia. Co ważne, używane do takich celów ukryte okno przeglądarki może pozostawać aktywne nawet po zamknięciu zainfekowanej witryny. Na ataki podatne są także urządzenia mobilne.
W przypadku zainfekowanych serwerów atak polega najczęściej na umieszczeniu w pamięci systemu dedykowanych złośliwych aplikacji “pasożytujących” na mocy obliczeniowej serwera. “W przypadku ataków na serwery nie mamy już do czynienia np. ze spamem farmaceutycznym, oprogramowaniem typu “ransomware” lub DDoS. Boty hostują aplikacje takie jak Minergate i Smominru. Aplikacje działają dyskretnie i regularnie kontaktują się z pulą hostów kontrolujących ich funkcjonowanie w celu przesłania obliczeń i odebrania kolejnych bloków zadań. Mogą one zostać przesłane za pośrednictwem spamu zawierającego takie załączniki, jak np. złośliwe dokumenty Word” – mówi Sebastian Kisiel, inżynier systemowy Citrix Systems. “Częstym celem są systemy podłączone bezpośrednio do internetu oferujące dostęp za pomocą protokołu RDP, ze słabymi hasłami i bez uwierzytelniania wieloskładnikowego” – dodaje.
Jak przekonują eksperci, jednym z istotniejszych, wymierzonych w infrastrukturę serwerową zagrożeń typu cryptojacking jest robak WannaMine. korzysta on m.in. z oprogramowania systemowego, takiego jak WMI i PowerShell, co utrudnia lub uniemożliwia organizacjom blokowanie go bez oprogramowania antywirusowego nowej generacji.
Obrona przed atakami typu cryptojacking wymaga holistycznego podejścia i stworzenia architektury bezpieczeństwa ukierunkowanej na zapobieganie zagrożeniom, także na poziomie poszczególnych urządzeń końcowych. System bezpieczeństwa musi jednocześnie obejmować swoim zasięgiem wszystkie elementy środowiska IT – punkty końcowej, warstwę sieci, serwery, ale też – usługi chmurowe. Rekomendowane jest też wyłączenie wykonywania skryptów javascript, flash, java oraz innych aktywnych treści na poziomie przeglądarek internetowych. W przypadku serwerów i środowisk chmurowych warto skupić się na ograniczeniu liczby potencjalnych wektorów ataku oraz zaostrzeniu ochrony haseł administratorów. Kluczowym elementem nowoczesnego systemu bezpieczeństwa są też mechanizmy pozwalające na wczesne wykrywanie anomalii w funkcjonowaniu środowiska IT. “Dział IT powinien mieć zdefiniowane progi określające normalną pracę procesora wraz ze zdefiniowanymi alertami wysyłanymi do administratorów, gdy jego użycie wzrośnie powyżej wyznaczonego poziomu. Kilka uwag dodatkowych dotyczy tego, by alerty ignorowały nazwy procesów – cyfrowy pasożyt zwykle chce pozostać niewykryty i może być zamaskowany jako usługa systemowa. Osoby odpowiedzialne za ataki są w stanie zestroić proces tak, by ten się zbytnio nie wyróżniał i nie wzbudzał uwagi jednocześnie skutecznie wykorzystując go do swoich celów. Stąd tak istotne jest ustalenie wartości bazowych i szybkie wykrycie anomalii” – podkreśla Sebastian Kisiel.
Co ciekawe, o ile kopanie Bitcoinów staje się obecnie coraz mniej opłacalne – koszt zużycia energii elektrycznej wykorzystywanej na potrzeby wykonania operacji niezbędnych do wykopania tej kryptowaluty jest często większy niż zyski, wyjątkiem są operacje przetwarzania o dużej skali lub wykorzystanie alternatywnych (tańszych) źródeł energii – to na rynku funkcjonuje już wiele alternatywnych wobec Bitcoina kryptowalut, do wytworzenia których wykorzystywane są mniej złożone algorytmy. Jednocześnie, tego rodzaju kryptowaluty mogą być często wymieniane na Bitcoiny, co w dużym stopniu decyduje o ich użyteczności dla cyberprzestępców.