Logpoint. Γιατί από μόνο του το anti-virus δεν μπορεί να σταματήσει το cryptojacking
Τα κρυπτονομίσματα όπως το Bitcoin αποτελούν μεγάλη πηγή ανησυχίας από τη στιγμή της σύλληψή τους ως ιδέα. Οι φίλοι της τεχνολογίας λένε ότι πρόκειται για το χρήμα του μέλλοντος όσον αφορά στην προστασία της ιδιωτικής ζωής και στην επαλήθευση πολύπλοκων συναλλαγών, όμως πάντα υπήρχε και ένας έντονος διάλογος για την πραγματική «αξία» των κρυπτονομισμάτων που δεν είναι άλλος από την αγορά παράνομων αντικειμένων και υπηρεσιών ή και λόγους φοροδιαφυγής και γενικότερα για τη χρηματοδότηση του σκιώδη τομέα.
Αν και διάφορες κυβερνήσεις και χρηματοπιστωτικά ιδρύματα καθώς και οι αρχές επιβολής του νόμου έχουν αρχίσει να παρεμβαίνουν –ακόμα και με νομοθετικές ρυθμίσεις ενδεχομένως μελλοντικά- σε μία προσπάθεια να ρυθμίσουν την αγορά, τα κρυπτονομίσματα συνεχίζουν να αποτελούν μία αρκετά ελκυστική μορφή εισοδήματος όταν συνδέονται με κακόβουλες δραστηριότητες, όπως με μολύνσεις ransomware ή malware, αυξάνοντας την δημοτικότητα των συγκεκριμένων στελεχών.
Επειδή έχουν μεγάλη αξία, είναι ψηφιακά, ανώνυμα και λειτουργούν πέρα από σύνορα – ο καθένας μπορεί να στείλει κρυπτονομίσματα σε οποιονδήποτε άλλον, οποτεδήποτε ή και οπουδήποτε – έχουν γίνει ακαταμάχητος στόχος για τους εγκληματίες του κυβερνοχώρου. Δεν είναι τυχαίο ότι η αυξανόμενη δημοτικότητα των κρυπτονομισμάτων έρχεται σε συνάρτηση με την άνοδο στις μολύνσεις από κακόβουλο λογισμικό που μετατρέπουν φορητούς υπολογιστές και διακομιστές σε μηχανήματα ζόμπι, αναλαμβάνοντας αθόρυβα και εξ αποστάσεως την δουλειά της εξόρυξης κρυπτονομισμάτων.
Το γνωστό ως «cryptojacking» λαμβάνει χώρα όταν κάποιος άλλος χρησιμοποιεί τον υπολογιστή σας για να «εξορύξει» κάποιο κρυπτονόμισμα όπως είναι το Bitcoin ή το Ethereum χωρίς να το γνωρίζετε. Αντί επομένως να επωφεληθείτε εσείς από την χρήση του υπολογιστή σας και των πόρων του, τα κρυπτονομίσματα που εξορύσσονται πηγαίνουν στο λογαριασμό του εισβολέα (ή του πελάτη του). Καταλαμβάνοντας τον υπολογιστή σας για την εξόρυξη κρυπτονομισμάτων, ο crypto-jacker κλέβει και χρησιμοποιεί τους πόρους σας, υπό τη μορφή επεξεργαστικής ισχύος και της ηλεκτρικής ενέργειας που καταναλώνει ο υπολογιστής σας, για να τις μετατρέψει σε χρήμα που πηγαίνει απευθείας στο πορτοφόλι του.
Οι υπολογιστικοί πόροι που αναφέραμε παραπάνω περιλαμβάνουν την κατάληψη της μονάδας επεξεργασίας γραφικών (GPU) και της κεντρικής μονάδας επεξεργασίας (CPU) του υπολογιστή σας. Η εξόρυξη κρυπτονομισμάτων όπως είναι το Bitcoin είναι ένα εξαιρετικά εξειδικευμένο έργο και απαιτεί μεγάλες ποσότητες ισχύος για την ολοκλήρωση των πολύπλοκων υπολογισμών που απαιτούνται για τη δημιουργία του εικονικού νομίσματος. Κρατώντας την δραστηριότητα του επεξεργαστή και της κάρτας γραφικών σε τόσο υψηλά επίπεδα χωρίς σωστή ψύξη και χωρίς να έχετε λάβει τα κατάλληλα μέτρα ενδέχεται να οδηγήσει σε απώλεια παραγωγικότητας –πέρα από την περηφάνια σας- στο περιβάλλον εργασίας σας, από την υπερθέρμανση και από προβλήματα ή βλάβες που ενδέχεται να προκληθούν στο hardware.
Το παραπάνω, ώθησε μια ομάδα Ρώσων επιστημόνων να χρησιμοποιήσουν έναν υπερυπολογιστή σε μια πυρηνική ερευνητική μονάδα για να εκτελέσει μια μη εξουσιοδοτημένη επιχείρηση εξόρυξης bitcoin. Και αυτό είναι επίσης αυτό που ενθαρρύνει το crypto-jacking και τους επιτήδειους κυβερνοεγκληματίες. Με τη δημιουργία ενός κατανεμημένου δικτύου υπολογιστών που αποτελείται από εκατοντάδες ή ακόμη και χιλιάδες μολυσμένους υπολογιστές ζόμπι, των οποίων έχουν αποκτήσει τον έλεγχο, είναι σε θέση να παρακάμψουν τα έξοδα λειτουργίας ενός ακριβού «υπερ-τροφοδοτούμενου» υπολογιστή – σαν αυτόν που αποτελούν εκατοντάδες ή χιλιάδες υπολογιστές ζόμπι.
Και τα έξοδα βαραίνουν εμάς
Οι κυβερνήσεις του Ηνωμένου Βασιλείου και της Αυστραλίας αντιμετώπισαν πρόσφατα πολλά προβλήματα αποσυνδέσεων από το διαδίκτυο εξαιτίας ενός κακόβουλου λογισμικού cryptojacking που μόλυνε χιλιάδες κυβερνητικά μηχανήματα. Η πηγή της λοίμωξης ήταν ένα μολυσμένο plug-in στο πρόγραμμα περιήγησης που πραγματοποιήθηκε από τρίτον. Χιλιάδες ιστότοποι εντός και εκτός της Αυστραλίας, συμπεριλαμβανομένης και της Εθνικής Υπηρεσίας Υγείας του Ηνωμένου Βασιλείου, καθώς και ο ίδιος ο παρατηρητής (watchdog) προστασίας δεδομένων του Ηνωμένου Βασιλείου, επηρεάστηκαν.
Οι υπολογιστές με Windows τείνουν να αποτελούν βασικό στόχο του cryptojacking malware, ωστόσο και άλλες συσκευές ή και άλλα λειτουργικά συστήματα μπορούν επίσης να μετατραπούν σε bots εξόρυξης bitcoin:
- Συσκευές Mac OS και iOS, συμπεριλαμβανομένων και των συσκευών iPhone
- Παιχνιδοκονσόλες
- Συσκευές παρακολούθησης περιβάλλοντος, που χρησιμοποιούνται σε κέντρα δεδομένων
- Συσκευές IoT σε ένα Smart Home
- Οικιακοί δρομολογητές WIFI
- Έξυπνες τηλεοράσεις και φορητές συσκευές με Android
Μια παραβιασμένη συσκευή αναγκάζεται συχνά από το κακόβουλο λογισμικό να λειτουργεί στον μέγιστο δυνατό βαθμό (π.χ ένας επεξεργαστής μπορεί να λειτουργεί συνεχώς στο 98-99% της επεξεργαστικής ισχύος του) που επιτρέπουν τα στοιχεία ή τα εξαρτήματά της. Η εξόρυξη κρυπτονομισμάτων είναι δυνατό να επιβραδύνει πολλές άλλες διαδικασίες, να υπερκεράσει κάρτες γραφικών και επεξεργαστές ή ακόμα και να οδηγήσει ένα σύστημα σε κατάρρευση εξαιτίας μόνιμης βλάβης. Με υποβαθμισμένες δυνατότητες και τη σύνδεση μεταξύ του μολυσμένου υπολογιστή και του διακομιστή εντολών και ελέγχου για το crypto mining λογισμικό να παραμένει μη προστατευμένη και επομένως μη ασφαλής, το μηχάνημα μπορεί επιπλέον να είναι ευάλωτο και σε άλλου τύπου λοιμώξεις και άλλα είδη κακόβουλου λογισμικού (malware).
Ενώ ένας τελικός χρήστης ή ένας διαχειριστής δικτύου είναι σε θέση να αντιληφθεί ότι ένα μηχάνημα λειτουργεί πιο αργά από το κανονικό ή ότι η χρήση της CPU στο δίκτυο είναι υψηλή, το να καθοριστεί η πηγή του προβλήματος μπορεί να είναι μία χρονοβόρα και δύσκολη διαδικασία. Το γεγονός ότι ένας μολυσμένος με κακόβουλο λογισμικό crypto mining υπολογιστής (ένας crypto-jacked υπολογιστής) λειτουργεί πιο αργά (επειδή το μεγαλύτερο ποσοστό των πόρων του απασχολείται από το λογισμικό εξόρυξης κρυπτονομισμάτων και όχι από τις συνήθεις εφαρμογές που χρησιμοποιούνται από τον χρήστη του) καθιστά ακόμα πιο δύσκολη την έρευνα.
Οι διαδικασίες επίσης εξόρυξης που έχουν ενεργοποιηθεί από το κακόβουλο λογισμικό μπορούν επίσης να «αναπαρίστανται» ως κανονικές διεργασίες του συστήματος.
Για να σταματήσετε το cryptojacking, συσχετίστε τις δικτυακές ανωμαλίες
Δυστυχώς, δεν υπάρχει κάποια προστατευτική ασπίδα κατά του cryptojacking. Όπως συμβαίνει και με κάθε άλλο είδος κακόβουλου λογισμικού, υπάρχουν πολλαπλοί φορείς μόλυνσης και κάθε προσπάθεια αποκλεισμού του από του να εισέλθει και να μολύνει συνδεδεμένα μηχανήματα αποτελεί μέρος της μακροχρόνιας μάχης κατά του malware.
Οι ομάδες ασφάλειας IT θα πρέπει φυσικά να ακολουθούν τις στάνταρντ τεχνικές μετριασμού – με την ενημέρωση των ρυθμίσεων των προγραμμάτων προστασίας από ιούς (antivirus) και των προγραμμάτων firewall, με την εξασφάλιση ότι όλες οι συσκευές και υπολογιστές ενημερώνονται με τα πλέον πρόσφατα patches, με την αλλαγή ή την ενίσχυση των διαπιστευτηρίων, με το whitelisting εφαρμογών και ούτω καθεξής.
Όμως η μεγαλύτερη πρόκληση για την αντιμετώπιση του cryptojacking είναι η ανίχνευση. Η προληπτική παρακολούθηση της δικτυακής κυκλοφορίας και της κατάστασης του μηχανήματος μπορεί να βοηθήσει στην ανίχνευση κάποιων δεικτών μόλυνσης – όπως αιχμές στη χρήση της CPU, υπερβολική χρήση μνήμης, συμφόρηση δικτύου ή διακομιστές στους οποίους έχει διαπιστωθεί κάποια ανεξήγητη επιβράδυνση. Παρόλα αυτά, όταν βλέπουμε τα παραπάνω μεμονωμένα, τέτοιες κόκκινες σημαίες μπορεί να μην επαρκούν για την ενεργοποίηση συναγερμού.
Το κλειδί είναι να υπάρχουν συστήματα δικτυακής παρακολούθησης που είναι ικανά να αλληλοσυνδέουν και να συσχετίζουν τις ανωμαλίες μεταξύ τους. Μόνο τότε ένας διαχειριστής συστήματος ή μια ομάδα SOC μπορεί να εντοπίσει μοτίβα συμπεριφοράς που μπορεί να οδηγούν στην εξόρυξη κρυπτονομισμάτων και επομένως σε cryptojacking. Στη συνέχεια έχουν την ευχέρεια να αποφασίσουν για το ποια είναι η καλύτερη προσέγγιση για να αντιμετωπίσουν την κατάσταση, να περιορίσουν τις ζημιές κ.λπ.
Η προστασία των gateways ηλεκτρονικού ταχυδρομείου, η ανάπτυξη αντιμέτρων κατά των διαδικτυακών injections, η εφαρμογή βέλτιστων πρακτικών για τις φορητές συσκευές, το BYOD και η προώθηση μιας επιχειρησιακής κουλτούρας που περιστρέφεται γύρω από την ασφάλεια, μπορούν να αποτελέσουν μέρος μιας εις βάθους άμυνας ενάντια στο cryptojacking και άλλα είδη παραβιάσεων.
Σε κάθε περίπτωση πάντως, η ασφάλεια των συνδεδεμένων στο διαδίκτυο συσκευών και υπολογιστών από το κακόβουλο λογισμικό cryptomining θα συνεχίζει να αποτελεί προτεραιότητα στην ατζέντα της κυβερνοασφαλείας για μεγάλο χρονικό διάστημα.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.