Τι είναι το Cryptojacking;

13/04/2019 07:25

 

Τι είναι το Cryptojacking

Πρόκειται για νέο όρο που μπήκε στη ζωή μας και που πολύ φοβάμαι πως σύντομα ίσως και να πάρει διαστάσεις επιδημίας. Συνοπτικά, είναι ένας τρόπος που έχουν βρει κάποια λαμόγια για να βγάζουν χρήματα χρησιμοποιώντας το hardware του υπολογιστή σας.

Μέθοδοι Cryptojacking

Υποθέστε πως έχετε ανοίξει τον περιηγητή σας σε μια ιστοσελίδα. Με το άνοιγμά της τρέχει ένα σενάριο (script) το οποίο και εκμεταλλεύεται την επεξεργαστική ισχύ του υπολογιστή σας. Μπορεί να διαλύσει κυριολεκτικά τη CPU σας κάνοντας εξόρυξη κρυπτονομισμάτων (cryptocurrency mining).

Πιθανές ενδείξεις παραβίασης

Κάποια συμπτώματα είναι ο περιηγητής και άλλες εφαρμογές να «σέρνονται», ο υπολογιστής σας να λειτουργεί πιο αργά, να καταναλώνει περισσότερη ενέργεια και να παράγει περισσότερη θερμότητα. Ενδεχομένως θα ακούτε τα ανεμιστηράκια να γυρίζουν σαν τρελά ενώ, αν έχετε laptop, tablet ή smartphone, η μπαταρία θα τελειώνει πολύ γρήγορα. Αντίστοιχα, σταθεροί υπολογιστές θα απορροφούν περισσότερη ηλεκτρική ενέργεια και θα αυξάνουν την κατανάλωση στο λογαριασμό σας. Έχουν αναφερθεί και περιπτώσεις όπου κάηκαν συσκευές και υπολογιστές από αυτή τη διαδικασία.

Ευάλωτα λειτουργικά

Τα κακά νέα είναι πως σε αυτήν την περίπτωση τίποτα δεν είναι αλώβητο αφού οι «drive-by» cryptojacking επιθέσεις μπορούν να γίνουν σε οποιαδήποτε συσκευή με web browser, άσχετα με το λειτουργικό που τρέχει. Οποιαδήποτε σελίδα με ενσωματωμένο mining script μπορεί να χρησιμοποιήσει τον επεξεργαστή σας για να πετύχει την εξόρυξη.

Υπάρχει επίσης cryptojacking malware, το οποίο λειτουργεί ακριβώς όπως οποιοδήποτε άλλο κακόβουλο λογισμικό. Ένα κενό ασφαλείας, μια «τρύπα», είναι αρκετό για να τρυπώσει και να τρέξει κάποιο τέτοιο script στο μηχάνημά σας.

Ακόμα, πολλές εφαρμογές -ειδικά για Android- κρύβουν ένα τέτοιο πρόγραμμα, ενώ προβλήματα υπάρχουν και σε συσκευές που τρέχουν παλιότερες εκδόσεις Android με ευπάθειες, όπου τρύπωσε κάποιο cryptomining λογισμικό αναγκάζοντας τη συσκευή να να ξοδέψει την περιορισμένη υπολογιστική ισχύ της στην διαδικασία της εξόρυξης.

Επιδημία που θα γίνει πανδημία;

Τα cryptojacking malwares πλέον αποτελούν φαινόμενο. Αν λάβουμε μάλιστα υπόψιν μας κάποιες έρευνες της AdGuard, έχουμε περιπτώσεις όπου περισσότεροι από 500 εκατομμύρια χρήστες μολυνθήκαν από μόλις μια ιστοσελίδα, ενώ ελάχιστες ώρες μετά αυτός ο αριθμός ανέβηκε στο ένα δισ. από μόλις 4 ιστοσελίδες!

Όπως αναφέρουν:

Κατά την ανάλυση των πρώτων καταγγελιών, συναντήσαμε αρκετούς πολύ δημοφιλείς ιστότοπους που χρησιμοποιούν κρυφά τους πόρους των συσκευών χρηστών για την εξόρυξη κρυπτονομισμάτων που απέφυγαν μέχρι τώρα τους αποκλεισμούς από τα Ablock λογισμικά.

Σύμφωνα με τη SimilarWeb, αυτά τα τέσσερα sites μετρούν συνολικά 992 εκατομμύρια επισκέψεις μηνιαίως.

cryptomining-fever

Στατιστικά του cryptojacking σύμφωνα με την AdGuard.

Είναι πολλά τα λεφτά Άρη

Ποιο το κέρδος από αυτό, θα αναρωτηθείτε. Συνεχίζοντας η AdGuard, αναφέρει πως

Τα συνολικά μηνιαία κέρδη από την κρυπτογράφηση, λαμβάνοντας υπόψη την τρέχουσα τιμή του Monero, μπορούν να φτάσουν τα 326.000 δολάρια. Αυτά είναι απλά εξωφρενικά νούμερα, ειδικά εάν τα προσθέσουμε στα αποτελέσματα της προηγούμενης έρευνας μας.

Οι ένοχοι στους οποίους έχει επικεντρωθεί η συγκεκριμένη έρευνα:

  1. Openload και oload.stream (εκτιμώμενα μηνιαία κέρδη: 95.000 δολάρια)
  2. Streamango.com (εκτιμώμενα μηνιαία κέρδη: 7.200 δολάρια)
  3. Rapidvideo.com (εκτιμώμενα μηνιαία κέρδη: 25.000 δολάρια)
  4. OnlineVideoConverter.com (εκτιμώμενα μηνιαία κέρδη: 200.000 δολάρια)

Αν σας λένε κάτι τα ονόματα αυτών των σελίδων, μάλλον θα τις έχετε -δυστυχώς- επισκεφτεί προκειμένου να παρακολουθήσετε κάποια ταινία online. Οι περισσότερες από τις δημοφιλείς ιστοσελίδες που μετέχουν σε αυτή τη νέα τάση φαίνεται να σχετίζονται με το streaming. Στην περίπτωση του Openload, για παράδειγμα, οι χρήστες δε χρειάζεται να επισκέπτονται το ίδιο το site για να γίνουν θύματα, καθώς χρησιμοποιείται συχνά ως ενσωματωμένο πρόγραμμα αναπαραγωγής βίντεο σε άλλες σελίδες. Έτσι, όταν κάποιος επισκέπτεται μια τρίτη σελίδα που το έχει ενσωματώσει, φορτώνεται και το script της εξόρυξης.

Το «CoinHive» ήταν το πρώτο mining script που τράβηξε την προσοχή, ειδικά όταν ενσωματώθηκε στο «The Pirate Bay» (καμιά σχέση πια με το παλιό, το καλό, το ορθόδοξο). Ωστόσο, πλέον υπάρχουν περισσότερα script εξόρυξης από το CoinHive και έχουν ενσωματωθεί σε όλο και περισσότερα sites.

Σε κάποιες περιπτώσεις μάλιστα δημιουργείται κάποια παραβίαση, αν και έχουν αναφερθεί και «συμβάσεις» με ένα άκακο και υπεράνω πάσης υποψίας website, και έτσι οι επιτιθέμενοι κερδίζουν από τις επισκέψεις σε αυτό το site. Αυτό επίσης μπορούν να το πάθουν και ελάχιστα έμπειροι bloggers και κάτοχοι ιστοσελίδων σε self-hosting. Σε άλλες περιπτώσεις, οι ιδιοκτήτες ιστοσελίδων προσθέτουν μόνοι τους τα cryptomining scripts και αποκομίζουν κέρδος.

Δηλαδή, την στιγμή που διαβάζετε αυτές τις γραμμές, δεν είναι μόνο τα streaming sites μα έχουν γίνει επώνυμες αναφορές και για υπηρεσίες όπως τα Discord και Slack μα και άλλες που χρησιμοποιούνται από πάρα πολλούς ανθρώπους.

Τεχνικά, το φαινόμενο ξεκίνησε με επιθέσεις σε IIS 6.0 servers. Την ανακοίνωση έκανε η ESET (ρίχνοντας όπως πάντα την ευθύνη σε «hackers») αναφέροντας πως χρησιμοποιήθηκε μια ευπάθεια στο IIS 6.0 -γνωστή ως CVE-2017-7269- για να αποκτηθεί ο έλεγχος των μηχανημάτων και στη συνέχεια να εγκατασταθεί ένα Monero mining script.

Πληροφορία
Παλιότερη έρευνα έδειξε ότι πάνω από το 70% όλων των ανταλλακτηρίων κρυπτονομισμάτων υπήρξαν στόχοι DDoS επιθέσεων. Για παράδειγμα, τον Ιούλιο του 2018, η KICKICO -μια από τις μεγαλύτερες εταιρείες ανταλλαγής e-coins και δημιουργός του KickCoin- ανακοίνωνε πως από την παραβίαση έχασε (οι χρήστες της δηλαδή) 70 εκατομμύρια «μάρκες» KICK, αξίας περίπου 7,7 εκατομμυρίων δολαρίων.

Υπάρχει πλέον μια μεγάλη λίστα από αναφορές για τέτοιου είδους κυβερνοεπιθέσεις που έχουν στόχο την εκμετάλλευση των CPUs/GPUs των υπολογιστών ανυποψίαστων χρηστών. Μάλιστα, μια από τις πρόσφατες αναφορές αποκαλύπτει ένα νέο malware που μόλυνε εκατοντάδες Windows servers με ένα κρυφό cryptocurrency mining πρόγραμμα, το οποίο απέφερε κέρδη 63.000 δολάρια σε τρεις μήνες!

«Zero Day» ως λογική συνέπεια

Η ευπάθεια του CVE-2017-7269 στο WebDAV του IIS 6.0 κατηγοριοποιήθηκε ως «zero day» όταν ανακαλύφθηκε για πρώτη φορά το Μάρτιο του 2017. Ενώ το ελάττωμα έχει διορθωθεί, αρκετά μηχανήματα παραμένουν ευάλωτα.

Η έρευνα της ΕSET αποκάλυψε επίσης πως οι «hackers» απλά έκαναν copy-paste ένα νόμιμο και ανοιχτού κώδικα λογισμικό mining που ονομάζεται xmrig και πρόσθεσαν κάποιες «hardcoded» εντολές που περιείχαν τη διεύθυνση του ηλεκτρονικού πορτοφολιού και του mining pool URL. Όπως χαρακτηριστικά έγραφε η ESET

Αυτό (η διαδικασία) δε θα μπορούσε να πάρει στους κυβερνοαπατεώνες περισσότερο από μερικά λεπτά, όπως υποδηλώνεται από το γεγονός ότι το είδαμε «εκεί έξω» την ίδια μέρα που κυκλοφόρησε η βασική έκδοση του xmrig.

Λόγω της σοβαρότητας της ευπάθειας, η Microsoft είχε κάνει διαθέσιμο patch ακόμη και για προϊόντα στο τέλος της ζωής τους, όπως τα Windows XP και Server 2003.

Γιατί το Monero;

Η πρώτη απορία που μου δημιουργήθηκε είναι το γιατί η προτίμηση -κυρίως- στο κρυπτονόμισμα Monero.

Σχετικά με το «Monero»
 

Το Monero, αν και δεν έχει τη δυναμική του Bitcoin (μα ανεβαίνει συνεχώς), είναι διαφορετικά κατασκευασμένο, με «μη Bitcoin» τεχνολογία, πολύ πιο εύκολο και γρήγορο στην εξόρυξη και λιγότερο απαιτητικό σε πόρους. Κάποτε είχα δει να το αναφέρουν σαν το «e-coin των φτωχών», αφού θεωρητικά μπορεί να «εξορυχτεί» και σε μέσης δυναμικότητας υπολογιστές. Εντελώς απλοϊκά, ας πούμε πως τεχνικά και πρακτικά είναι πολύ πιο εύκολο να γίνει η προαναφερθείσα απάτη με το Monero.

Η αντίδραση των περιηγητών

Η αλήθεια είναι πως δεν υπήρξε από πουθενά άμεση απόκριση. Όσον αφορά τον Firefox, την 30η Αυγούστου του τρέχοντος έτους, ο Nick Nguyen της Mozilla, έγραψε το εξής:

Παραπλανητικές πρακτικές που συλλέγουν αόρατα αναγνωρίσιμες πληροφορίες χρηστών ή υποβαθμίζουν την εμπειρία των χρηστών γίνονται όλο και συχνότερες. Για παράδειγμα, κάποιοι trackers ταυτοποιούν χρήστες με fingerprinting — μια τεχνική που τους επιτρέπει να αναγνωρίζουν αόρατα χρήστες από τις ιδιότητες των συσκευών τους, και ποιους χρήστες αδυνατούν να ελέγξουν. Άλλοι ιστότοποι έχουν αναπτύξει cryptomining scripts που εξορύσσουν σιωπηλά κρυπτονομίσματα στη συσκευή του χρήστη. Πρακτικές όπως αυτές καθιστούν τον ιστό πιο εχθρικό μέρος για να βρίσκεται κανείς. Μελλοντικές εκδόσεις του Firefox θα αποκλείουν αυτές τις πρακτικές από προεπιλογή.

Ο Nguyen προσθέτει περαιτέρω ότι αυτές οι δυνατότητες θα είναι διαθέσιμες στον Firefox Nightly και, αν λειτουργούν άψογα, θα εφαρμοστούν στην επερχόμενη, σταθερή έκδοση 63 του περιηγητή.

Η Google είχε περισσότερους λόγους να ενδιαφερθεί, αφού στο διαδικτυακό της κατάστημα με τα πρόσθετα βρέθηκαν ορισμένα τα οποία περιείχαν λογισμικό για mining, που φυσικά συνέβαινε εν αγνοία των χρηστών. Ο James Wagner, Extensions Platform Product Manager της Google, ανέβασε ένα άρθρο με τίτλο «Protecting users from extension cryptojacking».

Ανάμεσα στα άλλα, έγραψε:

Μέχρι στιγμής, η πολιτική του Chrome Web Store έχει επιτρέψει την εξόρυξη κρυπτονομισμάτων στις επεκτάσεις εφόσον αυτός είναι ο μοναδικός σκοπός της επέκτασης και ο χρήστης ενημερώνεται επαρκώς για τη συμπεριφορά της εξόρυξης. Δυστυχώς, περίπου το 90% όλων των επεκτάσεων με mining scripts που οι προγραμματιστές προσπάθησαν να μεταφορτώσουν στο Chrome Web Store απέτυχαν να συμμορφωθούν με αυτές τις πολιτικές και είτε έχουν απορριφθεί είτε έχουν αφαιρεθεί από το κατάστημα.

Ξεκινώντας από σήμερα, το Chrome Web Store δε θα δέχεται πλέον επεκτάσεις που εξορύσσουν κρυπτονομίσματα. Υπάρχουσες επεκτάσεις που εξορύσσουν κρυπτονομίσματα θα διαγραφούν από το Chrome Web Store στα τέλη Ιουνίου. Επεκτάσεις με σκοπούς σχετιζόμενους με το blockchain εκτός από την εξόρυξη θα συνεχίσουν να επιτρέπονται στο Web Store.

Και από πλευράς Opera υπήρξε αντίδραση και μάλιστα δημιουργήθηκε μια σελίδα, με την οποία μπορείτε να ελέγξετε αν ο περιηγητής σας έχει πέσει θύμα καποιου mining script (με μικρή επιφύλαξη για το ενδεχόμενο να συλλέγει πληροφορίες ο Opera).

Πάνω-κάτω έχουν αρχίσει και αντιδρούν οι περισσότεροι αλλά, όπως τουλάχιστον εκλαμβάνω από τις δηλώσεις, διάθεση να χτυπήσει το πρόβλημα στη ρίζα του έχει μόνο η Mozilla μέχρι στιγμής. Βλέπετε, βρισκόμαστε σε μια εποχή που μάλλον θα θεωρηθεί λογικό -και φοβάμαι πως θα συμβεί σύντομα- για τα όσα μας προσφέρει μια ιστοσελίδα να δίνουμε σαν αντάλλαγμα κάποια επεξεργαστική ισχύ για το mining των κατόχων της.

Προστασία από το Cryptojacking

Όπως καταλαβαίνετε, χρειάζονται ελάχιστα προκειμένου να κερδίσεις πολλά, εξαπατώντας και εκμεταλλευόμενος άλλους (σ.σ. παγκόσμιος και διαχρονικός κάνονας των λαμόγιων). Γιατί να ρίξει χρήματα ο άλλος σε servers και σχετικό hardware όταν μπορεί εύκολα να χρησιμοποιήσει το υλικό άλλων; Πόσο μάλλον όταν δεν υπάρχει ευαισθητοποίηση των ίδιων των χρηστών και ακόμα και καλά τεκμηριωμένες, γνωστές ευπάθειες εξακολουθούν να είναι πολύ αποτελεσματικές για τον κάθε κακόβουλο. Προφανώς δε χρειαζόμαστε κάποιο πόρισμα για να καταλάβουμε ότι ο μέσος χρήστης του Διαδικτύου (όλοι εμείς δηλαδή) είναι το εύκολο θύμα, εις βάρος του οποίου άλλοι αποκομίζουν κέρδη.

Θεωρητικά, αν κλείσετε την καρτέλα ή το παράθυρο της σελίδας με το mining script, αυτό θα σταματήσει τη λειτουργία του. Ακόμα καλύτερα αν καθαρίσετε την προσωρινή μνήμη, τα cookies, το ιστορικό, και κάνετε μια επανεκκίνηση του περιηγητή σας. Σε διαδικτυακά πηγαδάκια με σχετικές συζητήσεις όμως αναφέρεται πως ένα τέτοιο script θα μπορεί να συνεχίσει να τρέχει στο παρασκήνιο, ακόμα και σε περίπτωση που κλείσουμε την υπεύθυνη καρτέλα, εφόσον ο περιηγητής παραμένει ανοιχτός. Φυσικά, όπως είναι ευνόητο, τέτοιες πρακτικές θα εξελίσσονται ακόμα περισσότερο, ευρισκόμενες συνήθως ένα βήμα μπροστά.

Επί του παρόντος, αυτό που μπορείτε να κάνετε εκτός από την παραπάνω διαδικασία καθαρισμού είναι η χρήση κάποιων addons. Αρκετά από τα adblockers έχουν ενημερωθεί ώστε να μπλοκάρουν και αυτού του είδους τα scripts. Αν χρησιμοποιήσετε κάτι τέτοιο, ελέγξτε στη σελίδα του αν προσφέρει και σχετική προστασία (το uBlock Origin το κάνει).

Κάποια άλλα πρόσθετα για την αντιμετώπιση των cryptojackers:

Σημείωση
Αυτά του Opera, κανονικά, θα πρέπει να δουλεύουν και στους παράγωγους browsers ή να υπάρχει το ίδιο ή αντίστοιχο πρόσθετο για αυτούς. Το ίδιο ισχύει και για εκείνα του Chrome, όπως και του Firefox. Δεν αποκλείεται ωστόσο να συναντήσετε στην αρχή, κάποιες ασυμβατότητες λόγω των εκδόσεων. Αν έχετε κάποιον άλλον browser, μπορείτε να ενημερωθείτε στην επίσημη σελίδα του.

Η δουλειά αυτών είναι να μπλοκάρουν τα διάφορα mining scripts, πριν καν προλάβουν να τρέξουν και ενημερώνοντάς σας άμεσα. Δεν είναι βέβαια τα μόνα, μα τα συγκεκριμένα -ανοιχτού κώδικα φυσικά- έχουν τις καλύτερες κριτικές και θεωρούνται τα πιο αποτελεσματικά. Εμένα μου πρότειναν το No Coin, το οποίο και χρησιμοποιώ.

Πηγή https://osarena.net

Back

Contact

cyberinsurancequote

© CyberInsuranceQuote.gr 2016 All rights reserved.

Powered by Webnode