Das Kryptojacking nimmt wieder zu, wobei Angreifer verschiedene Methoden nutzen, um der Cloud-Infrastruktur kostenlose Rechenleistung zu entziehen und sich auf das Schürfen von Kryptowährungen wie Bitcoin und Monero zu konzentrieren.
Laut Sysdig, einem Anbieter von Sicherheit für Cloud-native Dienste, nutzen Kryptominer die Verfügbarkeit kostenloser Testversionen einiger der größten CI/CD-Dienste (Continuous Integration and Deployment), um Code bereitzustellen und verteilte Mining-Plattformen zu erstellen. Angreifer zielen auch auf falsch konfigurierte Kubernetes- und Docker-Instanzen ab, um Zugriff auf die Hostsysteme zu erhalten und Kryptomining-Software auszuführen, warnte das Cybersicherheitsdienstleistungsunternehmen CrowdStrike diese Woche.
Bei beiden Taktiken geht es in Wirklichkeit nur darum, vom Aufstieg digitaler Währungen auf Kosten anderer zu profitieren, sagt Manoj Ahuje, leitender Bedrohungsforscher für Cloud-Sicherheit bei CrowdStrike.
„Solange die kompromittierte Arbeitslast verfügbar ist, handelt es sich im Wesentlichen um kostenlose Rechenleistung – für einen Kryptominer ist das ein Gewinn für sich, da seine Eingabekosten Null werden“, sagt er. „Und … wenn ein Angreifer eine große Anzahl solcher Workloads durch Crowdsourcing der Rechenleistung für das Mining effektiv kompromittieren kann, hilft das, das Ziel schneller zu erreichen und in der gleichen Zeit mehr abzubauen.“
Die Bemühungen zum Krypto-Mining nehmen mit der Zeit zu, auch wenn der Wert von Kryptowährungen in den letzten 11 Monaten stark gesunken ist. Bitcoin zum Beispiel ist es 70 % weniger als sein Höchststand im November 2021, was viele kryptowährungsbasierte Dienste betrifft. Die jüngsten Angriffe zeigen jedoch, dass Cyberkriminelle versuchen, die am wenigsten hängenden Früchte zu ergattern.
Die Kompromittierung der Cloud-Infrastruktur von Anbietern scheint den Unternehmen nicht zu schaden, aber die Kosten für solche Hacks werden sinken. Sysdig hat diesen Angreifer normalerweise gefunden Verdienen Sie nur 1 $ pro 53 $ Kosten werden von den Eigentümern der Cloud-Infrastruktur getragen. Das Schürfen einer einzelnen Monero-Münze mithilfe kostenloser Testversionen auf GitHub würde das Unternehmen beispielsweise mehr als 100,000 US-Dollar an Umsatzeinbußen kosten, schätzte Sysdig.
Dennoch könnten Unternehmen den Schaden des Kryptominings zunächst nicht erkennen, sagt Crystal Morin, Bedrohungsforscherin bei Sysdig.
„Sie schaden niemandem direkt, indem sie beispielsweise jemandem die Infrastruktur wegnehmen oder Daten von Unternehmen stehlen. Aber wenn sie dies ausweiten oder andere Gruppen diese Art von Operation – ‚Freejacking‘ – ausnutzen würden, könnte das diesen Anbietern finanziell schaden.“ und wirken sich – im Backend – auf die Benutzer aus, da kostenlose Testversionen wegfallen oder legitime Benutzer gezwungen werden, mehr zu zahlen“, sagt sie.
Überall Kryptominer
Der jüngste Angriff, den Sysdig PURPLEURCHIN nannte, scheint ein Versuch zu sein, aus möglichst vielen Diensten, die kostenlose Testversionen anbieten, ein Kryptomining-Netzwerk zusammenzubasteln. Die Forscher von Sysdig fanden heraus, dass das neueste Krypto-Mining-Netzwerk 30 GitHub-Konten, 2,000 Heroku-Konten und 900 Buddy-Konten nutzte. Die Cyberkriminelle-Gruppe lädt einen Docker-Container herunter, führt ein JavaScript-Programm aus und lädt ihn in einen bestimmten Container.
„Der Erfolg des Angriffs beruht vor allem auf den Bemühungen der Cyberkriminellengruppe, so viel wie möglich zu automatisieren“, sagt Michael Clark, Direktor für Bedrohungsforschung bei Sysdig.
„Sie haben die Registrierung neuer Konten wirklich automatisiert“, sagt er. „Sie verwenden CAPTCHA-Umgehungen, die visuellen und die Audioversionen. Sie erstellen neue Domänen und hosten E-Mail-Server auf der von ihnen aufgebauten Infrastruktur. Es ist alles modular aufgebaut, sodass sie eine Reihe von Containern auf einem virtuellen Host einrichten.“
GitHub beispielsweise bietet auf seinem kostenlosen Kontingent 2,000 kostenlose GitHub Action-Minuten pro Monat an, was bis zu 33 Stunden Laufzeit für jedes Konto ausmachen könnte, gab Sysdig in seiner Analyse an.
Kuss-einen-Hund
Die Kryptojacking-Kampagne CrowdStrike entdeckt zielt auf anfällige Docker- und Kubernetes-Infrastruktur ab. Die als „Kiss-a-Dog“-Kampagne bezeichneten Kryptominer nutzen mehrere Command-and-Control-Server (C2) für Ausfallsicherheit und setzen Rootkits ein, um einer Entdeckung zu entgehen. Es umfasst eine Vielzahl weiterer Funktionen, wie z. B. das Platzieren von Hintertüren in kompromittierten Containern und den Einsatz anderer Techniken, um Persistenz zu erreichen.
Die Angriffstechniken ähneln denen anderer von CrowdStrike untersuchter Gruppen, darunter LemonDuck und Watchdog. Doch die meisten Taktiken ähneln denen von TeamTNT, das ebenfalls auf anfällige und falsch konfigurierte Docker- und Kubernetes-Infrastrukturen abzielte, heißt es in der Empfehlung von CrowdStrike.
Auch wenn sich solche Angriffe möglicherweise nicht wie ein Verstoß anfühlen, sollten Unternehmen alle Anzeichen ernst nehmen, dass Angreifer Zugriff auf ihre Cloud-Infrastruktur haben, sagt Ahuje von CrowdStrike.
„Wenn Angreifer in Ihrer Umgebung einen Kryptominer ausführen, ist das ein Zeichen dafür, dass Ihre erste Verteidigungslinie versagt hat“, sagt er. „Kryptominer lassen nichts unversucht, um diese Angriffsfläche zu ihrem Vorteil auszunutzen.“
