بدأت عمليات تعدين العملات المشفرة في الظهور مرة أخرى، حيث يستخدم المهاجمون مجموعة متنوعة من المخططات لامتصاص قوة المعالجة المجانية من البنية التحتية السحابية للتركيز على تعدين العملات المشفرة مثل Bitcoin وMonero.
يستخدم القائمون على التعدين توفر التجارب المجانية على بعض أكبر خدمات التكامل والنشر المستمر (CI/CD) لنشر التعليمات البرمجية وإنشاء منصات تعدين موزعة، وفقًا لشركة Sysdig، مزود الأمان للخدمات السحابية الأصلية. حذرت شركة خدمات الأمن السيبراني CrowdStrike هذا الأسبوع من أن المهاجمين يستهدفون أيضًا مثيلات Kubernetes وDocker التي تم تكوينها بشكل خاطئ للوصول إلى الأنظمة المضيفة وتشغيل برامج التعدين المشفرة.
يقول مانوج أهوجي، أحد كبار الباحثين في مجال التهديدات الأمنية السحابية في CrowdStrike، إن كلا التكتيكين يحاولان في الواقع الاستفادة من صعود العملات الرقمية على حساب شخص آخر.
يقول: "طالما أن عبء العمل المخترق متاح، فهو في جوهره حوسبة مجانية - بالنسبة إلى عامل العملات المشفرة، يعد هذا فوزًا في حد ذاته حيث تصبح تكلفة المدخلات الخاصة به صفرًا". "و... إذا تمكن المهاجم من اختراق عدد كبير من أعباء العمل بشكل فعال من خلال التعهيد الجماعي للحوسبة للتعدين، فإن ذلك يساعد في الوصول إلى الهدف بشكل أسرع وتعدين المزيد في نفس الوقت."
تتزايد جهود تعدين العملات المشفرة بمرور الوقت، حتى مع انخفاض قيمة العملات المشفرة في الأشهر الـ 11 الماضية. البيتكوين، على سبيل المثال، هو بانخفاض 70% عن الذروة التي بلغها في نوفمبر 2021مما يؤثر على العديد من الخدمات القائمة على العملات المشفرة. ومع ذلك، تظهر الهجمات الأخيرة أن مجرمي الإنترنت يتطلعون إلى قطف الثمار المنخفضة.
قد لا يبدو أن اختراق البنية التحتية السحابية لمقدمي الخدمات يضر بالأعمال التجارية، ولكن تكلفة مثل هذه الاختراقات سوف تتضاءل. وجد Sysdig أن المهاجم عادة اربح دولارًا واحدًا فقط مقابل كل 1 دولارًا من التكلفة يتحملها أصحاب البنية التحتية السحابية. على سبيل المثال، سيكلف تعدين عملة مونيرو واحدة باستخدام التجارب المجانية على GitHub تلك الشركة أكثر من 100,000 ألف دولار من الإيرادات المفقودة، وفقًا لتقديرات Sysdig.
ومع ذلك، قد لا ترى الشركات في البداية الضرر في تعدين العملات المشفرة، كما يقول كريستال مورين، باحث التهديدات في Sysdig.
"إنهم لا يؤذون أي شخص بشكل مباشر، مثل الاستيلاء على البنية التحتية لشخص ما أو سرقة البيانات من الشركات، ولكن إذا قاموا بتوسيع نطاق هذا الأمر، أو استفادت مجموعات أخرى من هذا النوع من العمليات - "السرقة الحرة" - فقد يبدأ ذلك في إلحاق الضرر ماليًا بهؤلاء مقدمي الخدمات". وتؤثر على المستخدمين، من خلال إلغاء التجارب المجانية أو إجبار المستخدمين الشرعيين على دفع المزيد.
عمال التشفير في كل مكان
يبدو أن الهجوم الأخير، الذي أطلق عليه Sysdig اسم PURPLEURCHIN، هو محاولة لتجميع شبكة تعدين العملات المشفرة من أكبر عدد ممكن من الخدمات التي تقدم تجارب مجانية. اكتشف باحثو Sysdig أن أحدث شبكة تعدين العملات المشفرة تستخدم 30 حسابًا على GitHub، و2,000 حساب Heroku، و900 حساب Buddy. تقوم مجموعة المجرمين الإلكترونيين بتنزيل حاوية Docker، وتشغيل برنامج JavaScript، والتحميل في حاوية معينة.
يقول مايكل كلارك، مدير أبحاث التهديدات في Sysdig، إن نجاح الهجوم مدفوع حقًا بجهود مجموعة المجرمين الإلكترونيين للأتمتة قدر الإمكان.
ويقول: "لقد قاموا بالفعل بأتمتة نشاط الدخول إلى حسابات جديدة". "إنهم يستخدمون تجاوزات اختبار CAPTCHA، والإصدارات المرئية والصوتية. يقومون بإنشاء مجالات جديدة، ويستضيفون خوادم البريد الإلكتروني على البنية التحتية التي قاموا بإنشائها. كل ذلك عبارة عن وحدات معيارية، لذا يقومون بتدوير مجموعة من الحاويات على مضيف افتراضي.
تقدم GitHub، على سبيل المثال، 2,000 دقيقة مجانية من GitHub Action شهريًا على الطبقة المجانية، والتي يمكن أن تمثل ما يصل إلى 33 ساعة من وقت التشغيل لكل حساب، حسبما ذكرت Sysdig في تحليلها.
قبلة كلب
حملة التعدين الخفي تم اكتشاف CrowdStrike يستهدف البنية التحتية الضعيفة لـ Docker وKubernetes. يستخدم عمال التشفير، الذين يطلق عليهم حملة Kiss-a-Dog، خوادم متعددة للتحكم والسيطرة (C2) من أجل المرونة، باستخدام الجذور الخفية لتجنب الكشف. ويتضمن مجموعة متنوعة من القدرات الأخرى، مثل وضع أبواب خلفية في أي حاويات مخترقة واستخدام تقنيات أخرى للحصول على المثابرة.
تشبه تقنيات الهجوم تقنيات المجموعات الأخرى التي قامت CrowdStrike بالتحقيق فيها، بما في ذلك LemonDuck وWatchdog. لكن معظم التكتيكات تشبه TeamTNT، والتي استهدفت أيضًا البنية التحتية الضعيفة والمضبوطة بشكل خاطئ لـ Docker وKubernetes، حسبما ذكرت CrowdStrike في نصائحها.
في حين أن مثل هذه الهجمات قد لا تبدو وكأنها اختراق، إلا أنه يجب على الشركات أن تأخذ على محمل الجد أي علامات تشير إلى أن المهاجمين لديهم إمكانية الوصول إلى البنية التحتية السحابية الخاصة بهم، كما يقول أهوجي من CrowdStrike.
ويقول: "عندما يقوم المهاجمون بتشغيل أحد أدوات التشفير في بيئتك، فهذا مؤشر على فشل خط دفاعك الأول". "لا يدخر عمال العملات المشفرة أي جهد لاستغلال سطح الهجوم هذا لصالحهم."
