Tấn công bằng tiền điện tử đang quay trở lại, với những kẻ tấn công sử dụng nhiều kế hoạch khác nhau để lấy đi sức mạnh xử lý miễn phí từ cơ sở hạ tầng đám mây để tập trung vào việc khai thác các loại tiền điện tử như Bitcoin và Monero.
Theo Sysdig, nhà cung cấp bảo mật cho các dịch vụ gốc đám mây, những kẻ khai thác tiền điện tử đang sử dụng các bản dùng thử miễn phí sẵn có trên một số dịch vụ tích hợp và triển khai liên tục (CI/CD) lớn nhất để triển khai mã và tạo nền tảng khai thác phân tán. Công ty dịch vụ an ninh mạng CrowdStrike đã cảnh báo trong tuần này rằng những kẻ tấn công cũng nhắm mục tiêu vào các phiên bản Kubernetes và Docker được định cấu hình sai để giành quyền truy cập vào hệ thống máy chủ và chạy phần mềm khai thác tiền điện tử.
Manoj Ahuje, nhà nghiên cứu mối đe dọa cấp cao về bảo mật đám mây tại CrowdStrike, cho biết cả hai chiến thuật này thực sự chỉ đang cố gắng kiếm tiền từ sự gia tăng của các loại tiền kỹ thuật số bằng chi phí của người khác.
“Về bản chất, miễn là khối lượng công việc bị xâm phạm có sẵn thì đó là tính toán miễn phí — đối với một người khai thác tiền điện tử, bản thân đó đã là một chiến thắng khi chi phí đầu vào của anh ta trở thành 0,” ông nói. “Và… nếu kẻ tấn công có thể thỏa hiệp một cách hiệu quả một số lượng lớn khối lượng công việc như vậy bằng cách sử dụng nguồn lực cộng đồng để tính toán khai thác, điều đó sẽ giúp đạt được mục tiêu nhanh hơn và khai thác nhiều hơn trong cùng một khoảng thời gian.”
Các nỗ lực khai thác tiền điện tử ngày càng tăng lên theo thời gian, ngay cả khi giá trị của tiền điện tử đã giảm mạnh trong 11 tháng qua. Bitcoin chẳng hạn là giảm 70% so với mức đỉnh vào tháng 2021 năm XNUMX, ảnh hưởng đến nhiều dịch vụ dựa trên tiền điện tử. Tuy nhiên, các cuộc tấn công mới nhất cho thấy tội phạm mạng đang tìm cách hái quả thấp nhất.
Việc xâm phạm cơ sở hạ tầng đám mây của các nhà cung cấp có thể không gây hại cho doanh nghiệp, nhưng chi phí cho những vụ hack như vậy sẽ giảm xuống. Sysdig nhận thấy kẻ tấn công thường chỉ kiếm được 1 USD cho mỗi 53 USD chi phí do chủ sở hữu cơ sở hạ tầng đám mây gánh chịu. Ví dụ, việc khai thác một đồng Monero bằng cách sử dụng các bản dùng thử miễn phí trên GitHub sẽ khiến công ty đó mất hơn 100,000 USD doanh thu, Sysdig ước tính.
Tuy nhiên, Crystal Morin, nhà nghiên cứu mối đe dọa tại Sysdig, cho biết ban đầu các công ty có thể không nhận thấy tác hại của việc khai thác tiền điện tử.
“Họ không trực tiếp làm hại bất kỳ ai, chẳng hạn như chiếm đoạt cơ sở hạ tầng của ai đó hoặc đánh cắp dữ liệu từ các doanh nghiệp, nhưng nếu họ mở rộng quy mô này hoặc các nhóm khác lợi dụng loại hoạt động này — 'freejacking' — điều đó có thể bắt đầu gây tổn hại về mặt tài chính cho các nhà cung cấp này. và tác động — ở phía sau — người dùng, khi các bản dùng thử miễn phí sẽ không còn hoặc buộc người dùng hợp pháp phải trả nhiều tiền hơn,” cô nói.
Thợ đào tiền điện tử ở mọi nơi
Cuộc tấn công mới nhất, mà Sysdig đặt tên là PURPLEURCHIN, dường như là một nỗ lực nhằm tạo ra một mạng lưới khai thác tiền điện tử từ càng nhiều dịch vụ cung cấp các bản dùng thử miễn phí càng tốt. Các nhà nghiên cứu của Sysdig đã phát hiện ra rằng mạng khai thác tiền điện tử mới nhất sử dụng 30 tài khoản GitHub, 2,000 tài khoản Heroku và 900 tài khoản Buddy. Nhóm tội phạm mạng tải xuống vùng chứa Docker, chạy chương trình JavaScript và tải vào vùng chứa cụ thể.
Michael Clark, giám đốc nghiên cứu mối đe dọa của Sysdig cho biết, sự thành công của cuộc tấn công thực sự được thúc đẩy bởi nỗ lực của nhóm tội phạm mạng trong việc tự động hóa càng nhiều càng tốt.
Ông nói: “Họ đã thực sự tự động hóa hoạt động truy cập vào các tài khoản mới. “Họ sử dụng các phương pháp bỏ qua CAPTCHA, cả phiên bản hình ảnh và âm thanh. Họ tạo các miền mới và lưu trữ các máy chủ email trên cơ sở hạ tầng mà họ đã xây dựng. Tất cả đều là mô-đun, vì vậy họ tạo ra rất nhiều vùng chứa trên máy chủ ảo.”
Ví dụ: GitHub cung cấp 2,000 phút Hành động GitHub miễn phí mỗi tháng ở cấp độ miễn phí, có thể chiếm tới 33 giờ thời gian chạy cho mỗi tài khoản, Sysdig cho biết trong phân tích của mình.
Hôn một con chó
Chiến dịch cryptojacking CrowdStrike được phát hiện nhắm mục tiêu vào cơ sở hạ tầng Docker và Kubernetes dễ bị tấn công. Được gọi là chiến dịch Kiss-a-Dog, những kẻ khai thác tiền điện tử sử dụng nhiều máy chủ ra lệnh và kiểm soát (C2) để có khả năng phục hồi, sử dụng rootkit để tránh bị phát hiện. Nó bao gồm nhiều khả năng khác, chẳng hạn như đặt các cửa sau vào bất kỳ vùng chứa bị xâm nhập nào và sử dụng các kỹ thuật khác để đạt được sự bền bỉ.
Các kỹ thuật tấn công giống với kỹ thuật của các nhóm khác được CrowdStrike điều tra, bao gồm LemonDuck và Watchdog. Nhưng hầu hết các chiến thuật đều tương tự như TeamTNT, vốn cũng nhắm vào cơ sở hạ tầng Docker và Kubernetes dễ bị tổn thương và bị định cấu hình sai, CrowdStrike nêu trong tư vấn của mình.
Ahuje của CrowdStrike cho biết, mặc dù các cuộc tấn công như vậy có thể không giống như một hành vi vi phạm, nhưng các công ty nên xem xét nghiêm túc mọi dấu hiệu cho thấy kẻ tấn công có quyền truy cập vào cơ sở hạ tầng đám mây của họ.
Ông nói: “Khi những kẻ tấn công chạy một công cụ khai thác tiền điện tử trong môi trường của bạn, đây là dấu hiệu cho thấy tuyến phòng thủ đầu tiên của bạn đã thất bại. “Những kẻ khai thác tiền điện tử đang không ngần ngại khai thác bề mặt tấn công này để làm lợi thế cho họ.”
