קריפטו-jacking זוחל לאחור, כאשר תוקפים משתמשים במגוון תוכניות כדי לשחרר כוח עיבוד מתשתית ענן כדי להתמקד בכריית מטבעות קריפטוגרפיים כמו ביטקוין ומונרו.
קריפטומינרים משתמשים בזמינות של ניסויים בחינם בכמה משירותי האינטגרציה והפריסה המתמשכת (CI/CD) הגדולים ביותר כדי לפרוס קוד וליצור פלטפורמות כרייה מבוזרות, לדברי Sysdig, ספקית אבטחה לשירותים מקוריים בענן. תוקפים מכוונים גם למופעים שגויים של Kubernetes ו-Docker כדי לקבל גישה למערכות המארחות ולהפעיל תוכנת cryptomining, כך הזהירה חברת שירותי אבטחת הסייבר CrowdStrike השבוע.
שתי הטקטיקות בעצם רק מנסות להרוויח כסף מהעלייה של המטבעות הדיגיטליים על חשבון מישהו אחר, אומר Manoj Ahuje, חוקר איומים בכיר לאבטחת ענן ב-CrowdStrike.
"כל עוד עומס העבודה שנפגע זמין, במהותו, זהו חישוב חופשי - עבור קריפטומינר, זה ניצחון בפני עצמו מכיוון שעלות הקלט שלו הופכת לאפס", הוא אומר. "ו...אם תוקף יכול להתפשר על מספר רב של עומסי עבודה כאלה ביעילות על ידי מיקור המונים של המחשוב לכרייה, זה עוזר להגיע ליעד מהר יותר ולכרות יותר באותו פרק זמן."
מאמצי הקריפטו גדלים עם הזמן, גם כאשר ערכם של מטבעות קריפטוגרפיים צנח ב-11 החודשים האחרונים. ביטקוין, למשל, הוא ירידה של 70% מהשיא בנובמבר 2021, המשפיע על שירותים רבים המבוססים על מטבעות קריפטוגרפיים. עם זאת, ההתקפות האחרונות מראות כי פושעי סייבר מחפשים לקטוף את הפירות התלויים הנמוכים ביותר.
ייתכן שפגיעה בתשתית הענן של ספקים לא פוגעת בעסקים, אבל העלות של פריצות כאלה תרד. Sysdig מצא את התוקף בדרך כלל תרוויח רק $1 עבור כל $53 של עלות נושאים על הבעלים של תשתית הענן. כריית מטבע Monero בודד באמצעות ניסויים בחינם ב- GitHub, למשל, תעלה לחברה זו יותר מ-100,000 דולר בהפסד הכנסות, העריך Sysdig.
עם זאת, ייתכן שחברות לא יראו בתחילה את הנזק בקריפטומין, אומר קריסטל מורין, חוקר איומים ב-Sysdig.
"הם לא פוגעים באף אחד באופן ישיר, כמו לקיחת תשתית של מישהו או גניבת נתונים מעסקים, אבל אם הם היו מגדילים את זה, או שקבוצות אחרות מנצלות את סוג הפעולה הזה - 'חטיפה חופשית' - זה עלול להתחיל לפגוע כלכלית בספקים האלה ולהשפיע - על הקצה האחורי - על המשתמשים, כשתקופות נסיונות בחינם נעלמות או מאלצות משתמשים לגיטימיים לשלם יותר", היא אומרת.
קריפטומינרים בכל מקום
נראה שהמתקפה האחרונה, ש-Sysdig כינתה PURPLEURCHIN, היא מאמץ לרכז רשת קריפטומיינג מכמה שיותר שירותים המציעים נסיונות חינם. החוקרים של Sysdig גילו שרשת ההצפנה האחרונה השתמשה ב-30 חשבונות GitHub, 2,000 חשבונות Heroku ו-900 חשבונות Buddy. קבוצת פושעי הסייבר מורידה קונטיינר Docker, מפעילה תוכנית JavaScript וטוענת בקונטיינר ספציפי.
הצלחת המתקפה מונעת באמת מהמאמצים של קבוצת פושעי הסייבר לבצע אוטומציה ככל האפשר, אומר מייקל קלארק, מנהל מחקר האיומים של Sysdig.
"הם באמת הפכו את הפעילות של כניסה לחשבונות חדשים אוטומטית", הוא אומר. "הם משתמשים במעקפי CAPTCHA, בוויזואליים ובגרסאות האודיו. הם יוצרים דומיינים חדשים ומארחים שרתי אימייל על התשתית שהם בנו. הכל מודולרי, אז הם יוצרים חבורה של קונטיינרים על מארח וירטואלי."
GitHub, למשל, מציעה 2,000 דקות פעולת GitHub בחינם בחודש בשכבה החינמית שלה, מה שיכול להוות עד 33 שעות של זמן ריצה לכל חשבון, קבעה Sysdig בניתוח שלה.
נשיקת כלב
קמפיין ה-cryptojacking CrowdStrike גילה מתמקד בתשתיות פגיעות של Docker ו-Kubernetes. המכונה מסע הפרסום Kiss-a-Dog, אנשי הקריפטו משתמשים במספר שרתי פקודה ושליטה (C2) לצורך גמישות, תוך שימוש ב-Rootkits כדי למנוע זיהוי. זה כולל מגוון של יכולות אחרות, כמו הצבת דלתות אחוריות בכל מיכל שנפגע ושימוש בטכניקות אחרות כדי להשיג התמדה.
טכניקות ההתקפה דומות לאלו של קבוצות אחרות שנחקרו על ידי CrowdStrike, כולל LemonDuck ו-Watchdog. אבל רוב הטקטיקות דומות ל-TeamTNT, שהתמקדה גם בתשתית Docker ו-Kubernetes פגיעה ושגויה, קבעה CrowdStrike בייעוץ שלה.
למרות שהתקפות כאלה לא ירגישו כמו פריצה, חברות צריכות להתייחס ברצינות לכל סימן שיש לתוקפים גישה לתשתית הענן שלהם, אומר Ahuje של CrowdStrike.
"כאשר תוקפים מריצים קריפטומינר בסביבה שלך, זה סימפטום שקו ההגנה הראשון שלך נכשל", הוא אומר. "קריפטומינרים לא מותירים אבנים בלתי הפיכות כדי לנצל את משטח ההתקפה הזה לטובתם."
