4 minute read
Prijetnja s devet kora
POVRATAK ILEGALNOG KRIPTORUDARENJA
KRIPTOVALUTE ODAVNO NISU POSEBNO “KRIPTIČAN” FENOMEN, MAKAR SE RIJETKO
SPOMINJU U KONTEKSTU SIGURNOSTI. RAZLOG ZA TO JE JEDNOSTAVAN. U MORU DRUGIH PRIJETNJI PRIČA O NEOVLAŠTENOM OTIMANJU RAČUNARSKIH RESURSA ZA RUDARENJE KRIPTOVALUTA PROLAZI ISPOD VEĆINE RADARA
Piše: Mirza Bahić redakcija@asadria.com
Od 2019. do danas vladalo je svojevrsno primirje između zajednice zlonamjernih kriptorudara i ostatka planetarne mreže. Danas je ovaj ilegalni površinski kop ponovo u funkciji, pri čemu će neki iz njega iznositi zlato, a drugi isključivo muku i nevolju. Za početak, podsjetimo se da fenomen tzv. cryptojackinga nema adekvatan opis na južnoslavenskim jezicima. Doslovno, radilo bi se o otmici ili neovlaštenom preuzimanju računarskih resursa za potrebe rudarenja kriptovaluta. Za razliku od regularnog rudarenja, u pitanju je ilegalna aktivnost kojom se procesorski ciklusi i snaga vašeg računara nakon uspješno izvedenog napada upregnu u rudarenje, odnosno zaradu novca za račun rudara napadača.
Metode napada
Tri su glavne metode koje napadači koriste s ovim ciljem. Kod prvog pristupa, zlonamjerni softver se preuzima i pokreće izvršnu datoteku koja širi skriptu za rudarenje kroz IT infrastrukturu, najčešće preko emaila. Kada korisnik klikne na link, pokreće se kôd koji preuzima skriptu za rudarenje kriptovaluta na računar i ona radi u pozadini bez znanja korisnika. Ovi napadi se mogu odvijati i preko web-pretraživača. Hakeri kreiraju skriptu za tajno rudarenje i ubacuju je u web-stranice. Skripta se pokreće automatski, a kod se preuzima na računar korisnika. Skripte se mogu ugraditi u reklamne sadržaje te zastarjele ili ranjive pluginove. Isto važi i za korištenje koda putem kompromitovane JavaScript biblioteke. Kod cryptojackinga u oblaku napadači pretražuju datoteke i kodove organizacije u potrazi za API ključevima za pristup uslugama u cloudu. Kada dobiju pristup, hakeri koriste neograničene resurse za rudarenje, što rezultira velikim povećanjem troškova korisnika.
Simptom neovlaštenog rudarenja je i neobičan rad ventilatorā, koji u slučaju infekcije rade duže nego što bi trebali u pokušaju da ohlade preopterećeni sistem. Rudarenje zahtijeva visok nivo iskorištenja resursa i može uzrokovati pregrijavanje računarskih uređaja
Ruka, lopata... i valuta
Uprkos razlikama, sve tri navedene metode se svode na isto – zloupotrebu resursa korisnika za rudarenje. Prvi korak u svakom slučaju uključuje odabir resursa za ubacivanje napadačeve skripte preko nje. Nakon toga se prelazi na njeno aktiviranje. U tom procesu napadač mora računati i na faktor sreće, odnosno na vjerovatnoću da žrtva uopće aktivira zlonamjerni link ili fajl. Dovoljno je da korisnici kliknu na prilog ili link kako bi pokrenuli skriptu za rudarenje kriptovaluta ili odu na web-stranicu
sa zaraženim oglasnim sadržajima. Nakon aktiviranja počinje sam proces ilegalnog rudarenja. Pri tome, skripta koristi računarsku snagu za rješavanje složenih algoritama za rudarenje jednog “bloka”. Ovi blokovi se dodaju u blockchain, tehnologiju koja pohranjuje digitalne informacije o kriptovaluti. Svaki put kada haker doda novi blok u lanac, on dobija odgovarajuće “novčiće” željene kriptovalute. Bez imalo rada ili rizika napadači dobijaju nagradu u kriptovaluti koja se direktno i anonimno šalje u njihove digitalne novčanike.
Kako otkriti rudara u pokušaju?
Je li kriptohljeb bez motike savršen zločin?! Ipak nije, mada je pravovremeno otkrivanje ovog tipa napada jednako važno kao i njegovo otklanjanje. To se posebno odnosi na činjenicu da se njegova uspješnost temelji na tajnovitosti. Cryptojacking može narušiti funkcionisanje vašeg cijelog sistema, ukoliko pomoću njega vodite i poslovne procese, te čak i ukupnog poslovanja. Precizno otkrivanje kompromitovanih resursa nije jednostavno. Kod u skriptama za rudarenje je takav da prosto mora izbjeći jednostavno otkrivanje kako bi bio uspješan. Zato se potrebno fokusirati na neke simptome koji vam mogu biti alarm za uzbunu. Neobjašnjiv pad performansi računara jedan je od jačih indikatora ugroženosti od ovog tipa napada. To uključuje stolne računare, laptope, tablete i mobilne uređaje. Jedan od problema je sličnost ovog simptoma s prostim viškom radnog opterećenja ili običnim zastarijevanjem sistema. Edukacija je zato ključna u prepoznavanju infekcije malicioznom skriptom za rudarenje jer se prije postavljanja dijagnoze moraju ispitati i eliminirati svi drugi uzroci pada performansi. Srodan indikator ove vrste problema je i pregrijavanje sistema. Rudarenje zahtijeva visok nivo iskorištenja resursa i može uzrokovati pregrijavanje računarskih uređaja. To može dovesti do oštećenja ili skraćivanja životnog vijeka uređaja. Dodatni simptom je i neobičan rad ventilatorā, koji u slučaju infekcije rade duže nego što bi trebali u pokušaju da ohlade preopterećeni sistem.
Kako prepoznati napad?
Neobično ponašanje prilikom provjere nivoa iskorištenosti računarskih resursa pomoću standardnih programa također je jedan od pokazatelja da vam je sistem otet za potrebe rudarenja. Anomalije se mogu detektovati kod redovnih aktivnosti praćenja opterećenosti sistema čak i pomoću običnog Task Managera. Ako detektujete povećanu upotrebu procesora prilikom korištenja web-stranica s malo ili nimalo medijskog sadržaja, to može biti znak aktiviranja skripte za ilegalno rudarenje kriptovaluta. Na kraju, znati kada treba pojačati kontrolu i u odnosu na koju prijetnju, ključna je prednost pred napadačima. Zanimale vas kriptovalute ili ne, nužno je da se barem minimalno upoznate s dolazećim prijetnjama iz tog svijeta. Na raspolaganju vam je više sajtova posvećenih ovoj tehnologiji na kojima ćete uvijek pronaći i upozorenja koja se tiču trendova otimanja informatičkih resursa za potrebe kriptorudarenja.
Šta poduzeti?
Za početak, poželjan prvi korak su već ustaljene prakse dobrog upravljanja cyber sigurnošću. Dakle, ažurirajte sve što koristite za detekciju standardnog malvera, bez obzira je li on usmjeren na rudarenje ili druge, vama poznatije prijetnje. Vaš sigurnosni softver mora biti spreman da prepozna maliciozne skripte za rudarenje jednako dobro kao i standardne izvore rizika koji do vas dolaze u obliku malvera. Zato i obuka IT timova i uposlenika o novoj prijetnji ima posebno važnu ulogu. Zaposlenici i korisnici moraju biti obučeni za prepoznavanje otmice sistema u okviru ilegalne šeme rudarenja kriptovaluta. Instalirajte i namjenske ekstenzije za pretraživače koje blokiraju aktiviranje opasnih skripti. Isto važi i za korištenje rješenja za blokiranje reklama koji tokom obavljanja svog redovnog rada mogu zaustaviti i zlonamjerni kod za rudarenje. Na kraju, vrijedi podsjetiti i na potrebu onemogućavanja JavaScripta u pretraživaču kao prečice za invaziju na vaš sistem.
