Cryptojacking, saldırganların Bitcoin ve Monero gibi kripto para birimlerinin madenciliğine odaklanmak için bulut altyapısından ücretsiz işlem gücü sızdırmak amacıyla çeşitli planlar kullanmasıyla geri dönüyor.
Bulut tabanlı hizmetler için güvenlik sağlayıcısı Sysdig'e göre kripto madencileri, kod dağıtmak ve dağıtılmış madencilik platformları oluşturmak için en büyük sürekli entegrasyon ve dağıtım (CI/CD) hizmetlerinden bazılarında ücretsiz deneme olanaklarından yararlanıyor. Siber güvenlik hizmetleri şirketi CrowdStrike bu hafta, saldırganların ana sistemlere erişim sağlamak ve kripto madencilik yazılımı çalıştırmak için yanlış yapılandırılmış Kubernetes ve Docker örneklerini de hedef aldığı konusunda uyardı.
CrowdStrike'da bulut güvenliği konusunda kıdemli tehdit araştırmacısı Manoj Ahuje, her iki taktiğin de aslında başkasının pahasına dijital para birimlerinin yükselişinden para kazanmaya çalıştığını söylüyor.
"Güvenliği aşılmış iş yükü mevcut olduğu sürece, özünde ücretsiz bilgi işlemdir; bir kripto madenci için bu başlı başına bir kazançtır çünkü girdi maliyeti sıfır olur" diyor. "Ve... eğer bir saldırgan, hesaplamayı madencilik için kitle kaynak yoluyla kullanarak bu tür çok sayıda iş yükünü etkili bir şekilde tehlikeye atabilirse, bu, hedefe daha hızlı ulaşmaya ve aynı sürede daha fazla madencilik yapmaya yardımcı olur."
Kripto para birimlerinin değeri son 11 ayda düşmüş olsa da, kripto madencilik çabaları zamanla arttı. Örneğin Bitcoin, Kasım 70'deki zirvesinden %2021 düşüş gösterdibirçok kripto para birimi tabanlı hizmeti etkiliyor. Ancak son saldırılar, siber suçluların en alttaki meyveyi toplamaya çalıştıklarını gösteriyor.
Sağlayıcıların bulut altyapısından ödün verilmesi işletmelere zarar vermiyor gibi görünebilir, ancak bu tür saldırıların maliyeti azalacaktır. Sysdig, saldırganın tipik olarak her 1$'lık maliyet için yalnızca 53$ kazanın bulut altyapısının sahipleri tarafından karşılanır. Sysdig, örneğin GitHub'daki ücretsiz denemeleri kullanarak tek bir Monero madeni parası çıkarmanın şirkete 100,000 dolardan fazla gelir kaybına mal olacağını tahmin etti.
Ancak Sysdig'de tehdit araştırmacısı olan Crystal Morin, şirketlerin başlangıçta kripto madenciliğinin zararını göremeyebileceğini söylüyor.
"Birinin altyapısını almak veya işletmelerden veri çalmak gibi doğrudan kimseye zarar vermiyorlar, ancak bunu ölçeklendirirlerse veya başka gruplar bu tür bir operasyondan ('serbest korsanlık') yararlanırsa, bu sağlayıcılara mali açıdan zarar vermeye başlayabilir. ve ücretsiz denemelerin kaldırılması veya yasal kullanıcıların daha fazla ödemeye zorlanmasıyla arka uçta kullanıcıları etkiliyor" diyor.
Her Yerde Kripto Madenciler
Sysdig'in PURPLEURCHIN adını verdiği son saldırı, ücretsiz denemeler sunan mümkün olduğunca çok sayıda hizmetten oluşan bir kripto madencilik ağını bir araya getirme çabası gibi görünüyor. Sysdig araştırmacıları, en yeni kripto madencilik ağının 30 GitHub hesabı, 2,000 Heroku hesabı ve 900 Buddy hesabı kullandığını keşfetti. Siber suçlu grubu bir Docker kapsayıcısı indiriyor, bir JavaScript programı çalıştırıyor ve belirli bir kapsayıcıya yükleniyor.
Sysdig'in tehdit araştırması direktörü Michael Clark, saldırının başarısının aslında siber suç grubunun mümkün olduğunca otomatikleştirme çabalarına bağlı olduğunu söylüyor.
"Yeni hesaplara girme etkinliğini gerçekten otomatikleştirdiler" diyor. “CAPTCHA bypasslarını, görsel versiyonlarını ve sesli versiyonlarını kullanıyorlar. Oluşturdukları altyapı üzerinde yeni alan adları oluşturuyor ve e-posta sunucularını barındırıyorlar. Her şey modüler olduğundan sanal bir ana makinede bir grup konteyneri çalıştırıyorlar."
Örneğin GitHub, ücretsiz katmanında ayda 2,000 ücretsiz GitHub Eylem dakikası sunuyor ve bu da her hesap için 33 saate kadar çalışma süresi anlamına gelebilir, Sysdig analizinde belirtti.
Bir Köpeği Öpücük
Kripto hırsızlığı kampanyası CrowdStrike keşfedildi savunmasız Docker ve Kubernetes altyapısını hedef alıyor. Kiss-a-Dog kampanyası olarak adlandırılan kripto madenciler, dayanıklılık için birden fazla komuta ve kontrol (C2) sunucusu kullanıyor ve tespit edilmekten kaçınmak için rootkit'leri kullanıyor. Güvenliği ihlal edilmiş herhangi bir konteynere arka kapı yerleştirmek ve kalıcılık kazanmak için diğer teknikleri kullanmak gibi çeşitli başka yetenekleri de içerir.
Saldırı teknikleri, LemonDuck ve Watchdog da dahil olmak üzere CrowdStrike tarafından incelenen diğer gruplarınkine benziyor. Ancak CrowdStrike tavsiye belgesinde, taktiklerin çoğunun savunmasız ve yanlış yapılandırılmış Docker ve Kubernetes altyapısını da hedef alan TeamTNT'ye benzediğini belirtti.
CrowdStrike'dan Ahuje, bu tür saldırıların bir ihlal gibi görünmese de şirketlerin, saldırganların bulut altyapılarına erişim sağladığına dair her türlü işareti ciddiye alması gerektiğini söylüyor.
"Saldırganlar ortamınızda bir kripto madenci çalıştırdığında bu, ilk savunma hattınızın başarısız olduğunun bir belirtisidir" diyor. “Kripto madencileri bu saldırı yüzeyini kendi avantajlarına kullanmak için çevrilmemiş taş bırakmıyor.”
