Эпо­ха «золотой лихорад­ки» в нише крип­товалют дав­но прош­ла, и кибер­кри­минал соот­ветс­тву­ющим обра­зом отре­аги­ровал на это. Май­нинг крип­товалют с исполь­зовани­ем вре­донос­ного ПО сегод­ня выгоден толь­ко в очень боль­ших мас­шта­бах, поэто­му вирусо­писа­тели раз­ными спо­соба­ми ста­рают­ся рас­ширить свою деятель­ность и уве­личить при­быль. Ком­пания Trend Micro про­вела иссле­дова­ние о деятель­нос­ти таких груп­пировок и подели­лась пред­варитель­ными резуль­татами с нами.
 

Чем опасны криптомайнеры?

Май­нинг крип­товалют нам­ного менее выгоден, чем кра­жа кон­фиден­циаль­ной информа­ции и рас­простра­нение вымога­телей, поэто­му основной целью кибер­прес­тупни­ков ста­новят­ся не инфи­циро­ван­ные машины конеч­ных поль­зовате­лей, а облачные сер­висы. Наиболь­шей популяр­ностью у зло­умыш­ленни­ков поль­зует­ся крип­товалю­та Monero (XMR), пос­коль­ку она поз­воля­ет получать мак­сималь­ную отда­чу при май­нин­ге с исполь­зовани­ем CPU по срав­нению с дру­гой крип­той. Выбор объ­ясня­ется еще и тем, что боль­шинс­тво облачных сер­висов не пре­дос­тавля­ют дос­тупа к гра­фичес­ким про­цес­сорам и ресур­сы обыч­ного про­цес­сора ста­новят­ся единс­твен­ным инс­тру­мен­том май­нин­га. При этом груп­пиров­ки активно кон­куриру­ют меж­ду собой: спе­циалис­ты по информа­цион­ной безопас­ности срав­нива­ют эту борь­бу за ресур­сы с кибер­турни­рами катего­рии Capture the Flag. В сво­ем иссле­дова­нии экспер­ты Trend Micro про­ана­лизи­рова­ли деятель­ность груп­пировок Outlaw, TeamTNT, Kinsing, 8220 и Kek Security, которые про­явля­ют наиболь­шую активность в ата­ках на облачные сер­висы.

Пе­ренос инфраструк­туры в обла­ка — оче­вид­ная тен­денция пос­ледних лет, пос­коль­ку такая миг­рация поз­воля­ет ком­пани­ям эко­номить зна­читель­ные средс­тва на обо­рудо­вании и его обслу­жива­нии. В то же вре­мя раз­верты­вание облачных сер­висов тре­бует зат­рат на их нас­трой­ку и адми­нис­три­рова­ние, преж­де все­го что­бы обес­печить безопас­ность. Мно­гие фир­мы эко­номят и на этом. Зна­читель­ное чис­ло сис­темных адми­нис­тра­торов хорошо зна­комо с инс­тру­мен­тари­ем для защиты локаль­ной инфраструк­туры, нап­ример бран­дма­уэра­ми и анти­виру­сами, но эти спе­циалис­ты стал­кива­ются с недос­татком зна­ний и прак­тики, ког­да речь заходит об облачных сер­висах. Кро­ме того, если в обла­ке не уста­нов­лены и не нас­тро­ены средс­тва монито­рин­га и логиро­вания, адми­нис­тра­тор не получа­ет того же объ­ема информа­ции, который дос­тупен ему в локаль­ной сис­теме, из‑за чего может не заметить ата­ку. Законо­мер­ным резуль­татом ста­новит­ся взлом, и исполь­зование ском­про­мети­рован­ного обла­ка для май­нин­га крип­товалют зачас­тую мож­но наз­вать наимень­шим из воз­можных зол.

Пос­коль­ку кон­фигура­ция у мно­гих облачных сер­висов стан­дарти­зиро­вана, а нас­трой­ки по умол­чанию не явля­ются сек­ретом (да еще и неп­лохо докумен­тирова­ны), зло­умыш­ленни­кам не нуж­но тра­тить чрез­мерные уси­лия на раз­ведку и взлом, не тре­бует­ся и какой‑то изощ­ренный инс­тру­мен­тарий. С одной сто­роны, кажет­ся, что про­ник­новение в облачную сис­тему тро­яна‑май­нера не пред­став­ляет серь­езной угро­зы, пос­коль­ку не при­водит к утеч­ке дан­ных и наруше­нию целос­тнос­ти инфраструк­туры. С дру­гой сто­роны, это вле­чет за собой замед­ление работы сер­висов, недоволь­ство и отток кли­ентов и, как следс­твие, падение при­были. Ну и если сис­тема уяз­вима, нич­то не помеша­ет зло­умыш­ленни­кам вос­поль­зовать­ся этой уяз­вимостью и куда более дес­трук­тивно.

В иссле­дова­тель­ских целях спе­циалис­ты Trend Micro уста­нови­ли прог­рамму для добычи Monero — XMRig — на тес­товый облачный сер­вер, парал­лель­но наг­ружен­ный дру­гими задача­ми, и отме­тили рост наг­рузки на про­цес­сор от 13 до 100%. В денеж­ном выраже­нии это озна­чает повыше­ние рас­ходов на арен­ду такого сер­вера с 20 до 130 дол­ларов в месяц.

Отображение нагрузки на сервер с XMRig в мониторе процессов Htop
Отоб­ражение наг­рузки на сер­вер с XMRig в монито­ре про­цес­сов Htop

Од­новре­мен­но с рос­том наг­рузки на CPU уве­личи­вает­ся и объ­ем сетево­го тра­фика, но рас­ходы на него нез­начитель­ны на фоне общих зат­рат.

Не­ред­ко дос­туп к взло­ман­ному облачно­му сер­веру выс­тавля­ется зло­умыш­ленни­ками на про­дажу, а май­нер залива­ют в обла­ко на вре­мя, пока товар «ждет сво­его покупа­теля». Потому обна­руже­ние такого тро­яна — очень пло­хой приз­нак. В боль­шинс­тве слу­чаев это пос­ледний шанс разоб­рать­ся с проб­лемами безопас­ности, преж­де чем взлом­щики исполь­зуют ском­про­мети­рован­ный сер­вер с какими‑нибудь дру­гими недоб­рыми намере­ниями.

 

Технология взлома и группировки

Как пра­вило, кибер­прес­тупни­ки получа­ют дос­туп к облачной инфраструк­туре по SSH, исполь­зуя нас­трой­ки по умол­чанию, извес­тные уяз­вимос­ти или лег­ко уга­дыва­емые пароли — методом брут­форса. Затем на сер­вер уста­нав­лива­ется XMRig, который под­клю­чает­ся к май­нин­говому пулу.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Подписаться
Уведомить о
2 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии