Kryptoparaziti na vzostupe

Kryptoparaziti na vzostupe

Ak sa vám už niekedy stalo, že po navštívení webstránky výkon vášho procesora rapídne stúpol, možno ste v tej chvíli nevedomky zarobili kyberzločincom nejaké tie drobné. Hrozba cryptojackingu sa vracia na scénu v novom prevedení a s novými technikami.

Kyberzločinci už dlhé roky využívajú rôzne techniky na to, aby na internete zarobili. S narastajúcou popularitou kryptomien preto neprekvapuje, že sa začali zaujímať aj o ne. Ich doterajšou doménou bolo buď hekovanie búrz, ktoré s kryptomenami obchodovali, alebo využívanie ransomvéru, ktorý obeti zašifroval súbory na počítači a žiadal od nej výkupné.

Napriek tomu, že prvý spôsob ráta len s „jednorazovou výplatou“, vydržal dodnes. Príkladom je severokórejská APT Lazarus a jej tohtoročná Operácia Applejeus. Naopak, trend šírenia ransomvéru pomaly upadá. Jednou z príčin je aj jeho malá výnosnosť. Celosvetová ransomvérová kampaň WannaCry z minulého roka nevyniesla útočníkom také veľké zisky, ako očakávali. Pomohla však aspoň odlákať pozornosť od návratu cryptojackingu na scénu.

Cryptojacking je neautorizované využívanie výkonu počítača niekoho iného na ťažbu kryptomien.

Prvé pokusy o jeho zavedenie sa datujú do roku 2011. Vtedy webstránka BitcoinPlus ponúkala JavaScript kód, ktorý po implementovaní do zdrojového kódu vášho webu začal ťažiť Bitcoiny (BTC) na počítačoch vašich návštevníkov. Tento projekt však neuspel – hlavne pre náročnosť ťažby tejto kryptomeny. Rovnakým neúspechom potom dopadol aj malvér Badminer objavený v auguste 2011. Odvtedy sa však cryptojacking vyvíjal, transformoval a dnes zažíva svoj „revival“.

Ťažba v prehliadači

Prvou technikou cryptojackingu je nákaza prostredníctvom kódu JavaScriptu, ktorý útočník vloží na webstránku, do online reklamy alebo routera. V momente, keď si obeť zapne prehliadač a načíta infikovaný web, kód spustí proces ťažby nejakej kryptomeny. Ťažba spočíva v zložitých matematických výpočtoch, ktoré majú overiť a potvrdiť transakcie vykonané v danej kryptomene.

Na rozdiel od staršej verzie BitcoinPlus, dnešný „poskytovateľ“ kódov CoinHive sa spolieha na kryptomenu Monero (XMR). Výhodou tejto kryptomeny oproti Bitcoinu je jej anonymita (systém je postavený tak, aby nebolo možné vypátrať spojitosť medzi jednotlivými „peňaženkami“) a niečo ako výkonnostná prívetivosť (na ťažbu Bitcoinu je dnes potrebný špeciálny hardvér, Monero možno ťažiť na obyčajných počítačoch, serveroch, mobiloch).

Rovnako ako BitcoinPlus, ani CoinHive nezamýšľal poskytnúť tieto kódy kybezločincom cielene. Ťažba v prehliadači mala primárne slúžiť ako alternatíva pre webstránky, ktoré si chceli vygenerovať zisk z návštevnosti inak ako otravnými reklamami. Čo však podnikateľ mieni, heker mení.

Svoje o tom vie Denník N alebo slovenský Telekom, ktorý nevedomky prevádzkoval CoinHive kód na webe Magio Go.

Začiatkom tohto roku uverejnil bezpečnostný analytik Scott Helme na Twitteri reťazec, ktorý po zadaní do vyhľadávača Google vypísal zoznam webov „infikovaných“ týmto skriptom. Zaujímavosťou je, že na doméne .sk je možné nájsť oveľa viac takýchto webov ako na susednej .cz. Konkrétne zhruba 9000 na slovenskej strane oproti 1000 na českej. Samozrejme, nie všetky boli infikované hekermi. Niektoré weby ich implementovali dobrovoľne tak, ako to zamýšľal CoinHive.

Ťažba malvérom

Smominru, WannaMine, WebCobra, XBash a tak ďalej. Tieto štyri známe sofistikované malvéry sú len malou ukážkou toho, čo sa výskumníkom podarilo objaviť za posledný rok a pol. Každý z nich sa vyznačuje istým špecifikom.

Prvé dva sa šíria e-mailmi, respektíve známou zraniteľnosťou EternalBlue. WebCobra je súčasťou potenciálne nechcených programov a dokáže získať informácie o počítači a na ich základe prispôsobiť svoj payload (typ nástroja na ťažbu a jeho konfiguráciu). A XBash je sám osebe majstrovským dielom, ktorý útočí ako na systémy Windows, tak aj Linux, a kombinuje v sebe prvky ransomvéru, malvéru na ťažbu kryptomien, deštrukčného malvéru či červa.

Hekeri, ktorí sa snažia vydolovať Monero týmito nástrojmi, si dávajú záležať na tom, aby bol ich príjem z tejto aktivity dlhodobý. Vytvorenie veľkej botnetovej siete preto nie je výnimkou. Aby však dokázali pracovať v utajení, využívajú všetky možné maskovacie a šifrovacie techniky na oklamanie monitorovacích nástrojov. Na rozdiel od ransomvéru teda neupozorňuje na svoju prítomnosť v počítači, ale snaží sa byť nenápadný.

A to sa mu aj darí. Okrem spomaleného počítača alebo hučiaceho notebooku nie sú iné indície, podľa ktorých by ste mohli cryptojacking odhaliť. Horšie sú na tom už iba tí, čo sú napadnutí takzvaným „fileless“ (bezsúborovým) malvérom, akým je GhostMiner. Ten nezapisuje na harddisk žiadne súbory, ale pretrváva len v pamäti RAM. Obyčajný človek sa ho tak vie po reštartovaní počítača zbaviť. Avšak firmy poskytujúce webhosting si nemôžu dovoliť len tak vypnúť servery.

Malvérový cryptojacking si nájde obete všade. Bol nájdený v nemocnici v Tennessee, na univerzite v Kanade, v aktualizácii Adobe Flashu, v hre na Steame alebo v programe rTorrent.

V čom je cryptojacking nebezpečný?

V prvom rade treba upozorniť, že skripty na webstránkach alebo malvéry v počítačoch si vedia samy nastaviť, koľko percent z výkonu vášho počítača budú využívať. Pokiaľ je nastavený naplno, je dosť možné, že váš počítač bude nepoužiteľný – spomalí ho to, začnú padať iné programy, bude sa prehrievať a bude hlučný. V takom prípade vám bude hneď jasné, že je niečo zle.

Útočníkovi sa však neoplatí ani polovičný výkon, ktorý by ťažil kryptomeny príliš dlho. Z praxe sú preto tieto skripty a malvéry nastavené na zhruba 70-80 percent. To útočníkovi dodáva postačujúci výkon a vám umožňuje naďalej využívať počítač hoci len v „obmedzenom režime“.

Druhým problémom je to, že sa nevedomky spolupodieľate na financovaní kyberzločinu. Samozrejme, pokiaľ to nerobíte úmyselne, nehrozí vám žiadna trestnoprávna zodpovednosť. Na rozdiel od istého Japonca, ktorý dostal trojročnú podmienku za cryptojacking. Opýtajte sa však sami seba, či chcete, aby váš počítač bol zneužívaný niekým iným. Hlavne, ak vezmete do úvahy tretí problém – účet za elektrinu.

Štúdie ukázali, že v globálnom meradle je ťažba kryptomien energeticky náročnejšia ako ťažba kovov. Útočník na vyťaženie Monera v hodnote jedného dolára potrebuje od vás dodatočných 14 MJ (3,9 kWh) energie. Jednoduchou matematikou zistíme, že zatiaľ čo útočník na vás zarobí jeden dolár (0,8853 eura), vy na to miniete 16 až 20 centov. Pre veľké firmy, ktorých servery sú zapnuté 24 hodín denne, to predstavuje oveľa väčšie náklady a vážnejšiu hrozbu.

(1 kWh = 0,04-0,05 EUR)

(Viliam Kaliňák)