Co to jest cryptojacking? Jak Intel i Microsoft chcą z nim walczyć?

Czym jest cryptojacking?

Cryptojacking może wydawać się pozornie niegroźny, jednak w rzeczywistości potrafi on przynieść zaatakowanej osobie czy instytucji sporo szkód – zwłaszcza w kwestii finansowej. Polega on przejęciu komputera ofiary (choć może to być również smartfon, tablet albo nawet serwer) w celu pozyskania jego mocy obliczeniowej do kopania kryptowalut dla atakującego. Haker może to zrobić przez przemycenie do nieświadomego użytkownika – w mailu lub przez stronę internetową czy nawet chmurę – programu ze złośliwym skryptem.

Dlaczego jest to tak szkodliwa praktyka? Pomijając już, że wszystko dzieje się bez zgody i za plecami atakowanego podmiotu, to cryptojacking zmniejsza wydajność sprzętu. Może natomiast zwiększyć wydatki, np. za prąd czy na nowe komponenty (bo stare zużyły się pracując na konto cyberprzestępcy).

Przykłady cryptojackingu

W 2017 roku za pomocą robaka WannaCry hakerzy zaatakowali systemy na kilku kontynentach. Zaszyfrowali dane ofiar i domagali się okupu w kryptowalucie. Atak taki kojarzy się bardziej z ransomware niż typowym cryptojackingiem, który jest coraz częściej wybierany przez oszustów (generuje większe zyski przy mniejszym ryzyku).

W lutym 2018 roku hiszpańska firma do spraw cyberbezpieczeństwa Panda Security poinformowała, że na komputerach na całym świecie rozprzestrzenił się cryptojackingowy skrypt WannaMine – trudny do wykrycia i zablokowania, przeznaczony do zdobywania kryptowaluty monero. Po zainfekowaniu urządzenia, wykorzystuje jego moc do przeprowadzania algorytmu CryptoNight i znalezienia haszu spełniającego określone kryteria. Gdy to się stanie, wykopane monero trafiają do portfela hakera.

Również w 2018 hakerzy wykorzystali software do zamiany tekstu na mowę na stronach rządowych Kanady, Wielkiej Brytanii i USA, by umieścić tam skrypt Coinhive i kopać monero przy użyciu przeglądarek osób, które odwiedzały zainfekowane witryny. W tym samym roku ofiarą cryptojackingu padła Tesla i chmurowa infrastruktura Amazon Web Services. Straty tutaj były jednak niewielkie.

Gorzej przedstawiała się sprawa ataku na europejski system sterowania wodociągami, gdzie nielegalne kopanie wpłynęło na zarządzanie siecią (był to także pierwszy przykład tego rodzaju uderzenia w przemysłowy system sterowania). A już naprawdę niezbyt wesoło brzmi sytuacja, kiedy to rosyjscy naukowcy usiłowali do kopania Bitcoinów wykorzystać superkomputer… w Federalnym Centrum Nuklearnym.

Wydobycie przez przeglądarkę, czyli legalny cryptojacking (?)

Czy cryptojacking może istnieć w zalegalizowanej formie? Teoretycznie tak. Mowa o wydobywaniu przez przeglądarkę (Browser Mining), czyli wykorzystywanie kodu stron do użytkowania mocy obliczeniowej urządzenia internauty. Różnica między cryptojackingiem nie jest tu zawsze jasna. Na przykład wspomniany Coinhive przedstawia się jako malware, choć twórcy utrzymują, że jest to legalne narzędzie do monetyzowania ruchu.

Niektórzy zwracają również uwagę na to, że tego typu czerpanie zysków jest dużo bardziej wygodne niż wprowadzanie denerwujących reklam. Przypomina się też, że wiele stron otwarcie mówiło o wykorzystywaniu przeglądarki do wydobywania kryptowalut i traktowało to jako uczciwą wymianę za darmowe korzystanie z zasobów witryny. Sprawa ma się już oczywiście inaczej ze stronami, które o tym nie informują albo zostały zhakowane i same nie wiedzą. Cryptojacking może wówczas działać nawet po tym, gdy przeglądarka zostanie zamknięta. Nic dziwnego więc, że Browser Mining pozostaje tematem kontrowersyjnym.

Jak rozpoznać cryptojacking?

Wśród znaków ostrzegawczych wymienia się zauważalne spowolnienie wydajności urządzeń lub połączonych z nimi routerów, przegrzewanie się baterii (i bardziej słyszalna praca chłodzenia) oraz samoczynne wyłączanie sprzętu z powodu braku mocy obliczeniowej. Uwagę zwrócić też powinien nieoczekiwany wzrost kosztów za pobór prądu.

Jeśli obsługujemy stronę, czerwona lampka powinna się zapalić, gdy zauważymy zmiany w kodzie i plikach.

Jak sobie radzić z cryptojackingiem?

Na pewno unikać okazji do zainfekowania sprzętu. Jeśli jakaś strona ma reputację niebezpiecznej i zakażającej złośliwym skryptem, najlepiej ją zablokować. Nie otwierać podejrzanych linków czy plików, przesłanych w mailu lub pochodzących z niepewnych adresów. Zarówno system, jak i wszystkie aplikacje – szczególnie te związane z przeglądarkami – powinny być regularnie aktualizowane. Sugeruje się też użytkowanie rozszerzeń przygotowanych do obrony przed cryptojackingiem (np. No Coin, NoMiner, minerBlock) i adblockerów nakierowanych na ochronę prywatności.

Dobrze jest również na bieżąco monitorować pracę sprzętu – sprawdzać zarówno szybkość przetwarzania danych, jak i zużycie energii. Oczywiście warto też skanować urządzenie w poszukiwaniu malware’u. A także trzymać rękę na pulsie w temacie ataków cryptojackingowych oraz nowych metod złośliwego wydobywania.

Polecane jest również wyłączenie JavaScriptu podczas korzystania z internetu. Tu jednak warto mieć na uwadze, że pozbawimy się wtedy wielu różnych przydatnych funkcji. Nie jest to więc może metoda użyteczna zawsze i wszędzie, niemniej warto mieć ją zakodowaną z tyłu głowy.

Intel i Microsoft kontra cryptojacking

Odpowiedź na cryptojacking wprowadzają wspólnymi siłami Intel oraz Microsroft. W Microsoft Defender dla punktu końcowego zwiększają się możliwości Intel Threat Detection Technology (TDT), pozwalając na wykrywanie nielegalnego wydobycia przy pomocy opartego na CPU uczenia maszynowego oraz telemetrii procesora.ź

Jak powiedział reprezentujący Intela Michael Nordquist, klienci, którzy decydują się na Intel vPro z Intel Hardware Shield dostają teraz pełny obraz zagrożeń, bez konieczności konfiguracji IT. Skala wdrożenia tego rozwiązania w systemach konsumenckich jest, jego zdaniem, bezkonkurencyjna i pomaga w zlikwidowaniu luk w ochronach korporacyjnych.

Karthik Selvaraj z Microsoftu określił współpracę z Intelem w tym zakresie jako jeden z przykładów głębokiej kooperacji z partnerami technologicznymi. Według jego słów MS blisko pracuje z twórcami czipów w celu badania i przyjmowania nowych, opartych o hardware zabezpieczeń, które zapewnią solidną ochronę przed cyberzagrożeniami.

Zobacz też:

Źródła: Business Wire, Interpol, Investopedia, Varonis, Malwarebytes, BBC, Wired, Mozilla, Chrome