Можно купить цифровые активы на криптобиржах или обменниках, можно получить ее в качестве награды за валидацию блоков и транзакций в блокчейне или за выполнение простых заданий, но есть один из черных методов.
Поскольку криптовалюты работают на основе технологии распределенного реестра (DLT), называемого блокчейном, цифровая база данных постоянно обновляется новыми сведениями о каждой транзакции с момента предыдущего обновления. Блоки создаются майнерами, которые используют компьютерные мощности и получают за свою работу вознаграждение.
Поскольку майнинг требует больших энергозатрат и дорогостоящего оборудования, злоумышленники по всему миру пытаются использовать вредоносные скрипты, чтобы получить криптовалюту, не потратив ни копейки. Этот вид киберпреступлений называется криптоджекинг (cryptojacking).
Термин образован из двух английских слов: cryptocurrency — криптовалюта и hijack — грабеж, налет, захват.
Криптоджекинг — это когда злоумышленники тайно используют вычислительную мощность вашего устройства для добычи криптовалюты, например Monero, заставляя его замедляться и перегреваться, пока они получают прибыль.
Наиболее распространенными формами являются браузерный криптоджекинг, файловые атаки, IoT-криптоджекинг и облачный криптоджекинг.
Что такое криптоджекинг и как он работает
Хакеры распространяют программы криптоджекинга для противоправной добычи криптовалюты за счет чужих ресурсов или для кражи средств из кошельков. Вредоносный майнинговый код внедряется в устройства ничего не подозревающих жертв с помощью фишинга.
Также злоумышленники имплементируют JavaScript-код на сайтах или в интернет-рекламе, который автоматически запускается при загрузке браузера жертвы. В каждом случае вредоносный код устанавливает майнинговый скрипт и запускает его в фоновом режиме.
Как и при белом майнинге, скрипт выполняет сложные математические операции, но на компьютере жертвы, и добытую криптовалюту направляет на подконтрольный хакеру адрес кошелька, не компрометируя при этом данные устройства жертвы. Тем не менее скрипт отнимает вычислительные мощности устройства, на котором паразитирует.
Снижение производительности компьютера — это одна из проблем, с которой сталкиваются подвергшиеся криптоджекингу. Но в случае с крупными предприятиями речь идет и о высоких расходах за электроэнергию, и о затратах на обслуживание ИТ-инфраструктуры.
Возможности вредоносных скриптов для майнинга криптовалют могут быть огромны: они способны заражать другие вычислительные устройства и, сканируя систему жертвы на наличие других вредоносных майнинговых программ, останавливать их, забирая ресурсы для себя.
Изначально криптоджекеры использовали JavaScript для симбиотической добычи криптовалюты, одновременно предоставляя пользователям бесплатный контент или делясь доходом. Эта стратегия может быть успешной, если сайты открыто рассказывают о своей деятельности и не обманывают пользователей. Проблема заключается в том, чтобы определить, насколько честен такой веб-сайт.
Вредоносный криптоджекинг осуществляется через скомпрометированные легитимные сайты и продолжается даже после того, как пользователь покидает сайт. О том, что посещенный сайт заразил и использует для майнинга крипты вычислительные ресурсы устройства, пользователь не будет знать. Скрипт будет выполняться скрыто, без каких-либо уведомлений и открытых окон, и в большинстве случаев даже диспетчер задач не будет показывать запущенный процесс. Использование кодом системных ресурсов позволяет предотвратить обнаружение скрипта.
Андроид-устройства также могут быть подвержены криптоджекингу через заражение троянами или редиректами на зараженные сайты при использовании мобильных браузеров (веб-серфинг).
Троянский вирус — это вредоносная программа, которая устанавливается на компьютер под видом надежного приложения, используя методы социальной инженерии, например фишинг, для получения доступа к системе пользователя.
Виды криптоджекинга
Криптоджекинг-атаки бывают разных видов, и по мере их развития появляются новые методы.
- IoT-криптоджекинг. Устройства Интернета вещей (IoT), такие как «умные» домашние гаджеты, также являются мишенью, часто не имеют надежных мер безопасности и становятся целью криптоджекеров для эксплуатации и использования в майнинге.
- Криптоджекинг на основе файлов. Этот тип криптоджекинга происходит при установке и запуске на устройстве вредоносного ПО для криптоджекинга. Для осуществления таких атак часто используются фишинговые письма или поддельные обновления программного обеспечения. Даже после закрытия зараженного сайта программа продолжает добывать криптовалюту.
- Браузерный криптоджекинг. Происходит, когда посещается взломанный веб-сайт, на котором установлен скрипт для добычи криптовалюты. Скрипт завершается, когда вы покидаете страницу, но продолжает выполняться, пока вы на ней находитесь. Такие атаки часто связаны с тем, что на легитимных сайтах случайно размещается вредоносный код или реклама.
- Облачный криптоджекинг. По мере распространения облачных сервисов хакеры выбирают облачные системы для установки программного обеспечения для добычи криптовалют. Они используют уязвимости или слабую защиту в конфигурациях облачных систем, что позволяет им захватывать облачные ресурсы для добычи криптовалют.
Добыть BTC с помощью телефона невозможно, потому что для майнинга BTC требуется огромная вычислительная мощность, превышающая возможности смартфона. Для майнинга Биткоина используется специализированное оборудование (ASIC), решающее сложные алгоритмы, чего не может сделать процессор телефона.
Методы криптоджекинг-атак
Жизненный цикл криптоджекинга — это подготовка скрипта, его внедрение и запуск (атака). Этапы подготовки и запуска одинаковы для всех видов вредоносного ПО, использующегося для добычи криптовалют. Фаза внедрения (инъекции) скрипта, напротив, осуществляется локально, путем встраивания вредоносного кода в другие приложения или веб-сайты.
Для добычи криптовалют криптоджекеры в основном используют три скрытые техники:
- Захват контроля над ИТ-инфраструктурой.
- Внедрение вредоносного ПО.
- Использование облачных сервисов.
Использование ИТ-инфраструктуры для внедрения вредоносного ПО в браузер называется браузерным криптоджекингом. Хакеры создают скрипт для майнинга криптовалют, который размещается на различные сайты. Пользователь посещает такой сайт, его компьютер запускает код скрипта, который автоматически начинает процесс майнинга.
В силу своей популярности и длительности пребывания пользователей, такие ресурсы, как видеохостинги, социальные сети, блоги и прочие агрегаторы медиаконтента, являются отличной мишенью для злоумышленников. Кроме того, вредоносное ПО для криптоджекинга может быть внедрено в плагины государственных сайтов.
Файловый криптоджекинг осуществляется с помощью зараженных программ, которые выглядят вполне доброжелательно и имеют какую-либо полезную функцию, но при их установке на ПК, фоново в ОС прописывается, запускается и начинает работать вредоносный код, который использует CPU или GPU для майнинга криптовалют без ведома пользователя.
При использовании облачного или хостингового криптоджекинга хакеры проникают в документы и исходный код компании в поисках API-ключей для доступа к ее облачным сервисам. Получив искомое, хакеры используют неограниченные ресурсы центрального процессора (ЦП) для майнинга криптовалют, что приводит к повышению операционных издержек компании.
Хостинговые криптоджекинг-атаки обычно выполняются следующим образом:
- Злоумышленник создает вирус крипто-майнинга, затем объединяет его с известным и доверенным приложением и надежно скриптует такой пакет, чтобы антивирусные программы и файрволлы не могли обнаружить вредоносный код.
- Заражённое ПО распространяется в интернете путём загрузки в общедоступные файлообменники или торренты.
- Фаза внедрения вредоносного ПО завершается, когда жертва загружает зараженные программы и устанавливает их на свои хосты, такие как сервер или ПК.
- Заражённое ПО подключается к майнинговому пулу через веб-соединение или API и начинает процесс майнинга, обмениваясь данными с пулом.
Как результат — устройство жертвы потребляет электроэнергию и тратит вычислительные ресурсы, а хакер получает криптовалюту на свой кошелек. После получения незаконно добытой криптовалюты у злоумышленника есть три варианта ее использования: отправка в криптомиксеры для сокрытия источника получения, конвертация в фиатные деньги с помощью бирж или p2p-обменников и использование для расчетов в интернете.
Источники заражения
Поставщики услуг являются основными разработчиками и распространителями программ для криптоджекинга. Например, в 2017 году компания Coinhive, ноги которой растут откуда-то из Германии и косвенно связаны с неким ресурсом pr0gramm, первой создала готовый скрипт для майнинга в браузере, который быстро стал использоваться злоумышленниками по всему миру.
Скрипт от Coinhive давал значительную часть общего хешрейта Monero (XMR), и в определенный момент насчитывалось до 32000 сайтов с майнером от Coinhive.
Скрипт можно обнаружить и в совершенно неожиданных местах: встроенным во все веб-страницы, которые обслуживались через Wi-Fi аргентинского кафе Starbucks, в рекламных объявлениях от YouTube и Google DoubleClick (в Японии, Франции, Тайвани, Италии и Испании), в сервисе озвучки веб-страницы для слабовидящих, в правительственных сайтах Великобритании, США и Канады, на странице отчета об убийствах газеты Los Angeles Times. Более 200'000 маршрутизаторов MikroTik в Бразилии были скомпрометированы в результате криптоджекинга.
В марте 2019 года Coinhive прекратила деятельность из-за стремительного падения цены XMR и снижения рентабельности разработки.
Известно, что злоумышленники используют многие недостатки аппаратного и программного обеспечения. Например, заражают неисправные компьютеры и заставляют их добывать криптовалюты.
Многочисленные майнинговые пулы предлагают несколько готовых решений, которые злоумышленники могут модифицировать для криптоджекинга. Например, XMRig — это высокопроизводительная реализация майнера Monero с открытым исходным кодом, сигнатура которого присутствует в некоторых атаках, поразивших миллионы устройств по всему миру.
Как обнаружить криптоджекинг
Учитывая повсеместное распространение и развитие вредоносных программ для криптоджекинга, очень важно выявлять и пресекать несанкционированный майнинг, использующий вычислительные ресурсы без ведома и согласия.
Поскольку криптоджекинг часто не оставляет очевидных признаков, обнаружить его может быть непросто, поскольку он отличается от обычных вредоносных программ по нескольким параметрам. Наблюдение за возможными признаками может помочь обнаружить его.
- Перегрев устройств. Криптоджекинг заставляет устройство работать интенсивнее, чем обычно, что может привести к его перегреву. Если вентилятор компьютера работает слишком интенсивно, причиной может быть криптоджекинг.
- Повышенный разряд батареи. Криптоджекинг может привести к тому, что батарея устройства будет разряжаться быстрее, чем обычно, поскольку добыча криптовалюты требует больших ресурсов.
- Падение производительности. Низкая скорость обработки данных или часто аварийно завершающиеся приложения могут свидетельствовать о том, что в них внедрен и работает скрипт криптоджекинга.
- Необъяснимое увеличение нагрузки на процессор. Если использование процессора устройства резко возрастает без видимых причин, и при этом не используются требовательные приложения, это может свидетельствовать о наличии вредоносного ПО для криптоджекинга.
- Неожиданно высокий уровень использования данных. Некоторые атаки криптоджекинга потребляют больше данных, поскольку устройство взаимодействует с серверами майнинга.
Вместо того чтобы красть персональные данные своих жертв, как это делают классические вредоносные программы, криптоджекеры используют вычислительные мощности ПК. Авторитетным сайтам часто доверяют, но редко исследуют. Вредоносное ПО может быть использовано или интегрировано именно в такие сайты.
Скрипты увеличивают нагрузку на процессор, когда пользователь просматривает какой-либо сайт. Мониторинг загрузки процессора в «Диспетчере задач» может сообщить о скрытом майнинге.
Как защититься от криптоджекинга
Для защиты от криптоджекинга необходимо использовать многоуровневый подход, включающий методы обеспечения безопасности и специализированные инструменты. К числу распространенных способов защиты от атак криптоджекинга относятся:
- Надежное антивирусное программное обеспечение. Антивирус может обнаружить и заблокировать вредоносное ПО для криптоджекинга еще до того, как оно заразит ваше устройство. Регулярное обновление антивирусного ПО поможет распознавать новейшие угрозы.
- Игнорирование подозрительных ссылок и спам-писем. Следует с осторожностью относиться к фишинговым письмам и любым подозрительно выглядящим ссылкам. Не нужно загружать вложения или программы из неизвестных источников.
- Регулярное обновление программного обеспечения. Хакеры используют уязвимости в устаревшем ПО для установки вредоносов для добычи криптовалют, поэтому нужно всегда использовать последние версии операционной системы, браузера и приложений.
- Отслеживание производительности устройства. Мониторинг процессора и температуры устройства поможет выявить необъяснимые скачки, которые могут быть признаком криптоджекинга.
- Браузерные расширения. Некоторые расширения для браузеров, например NoCoin и MinerBlock, специально разработаны для блокировки скриптов добычи криптовалют. Установив одно из них, можно предотвратить атаки криптоджекинга во время интернет-серфинга.
- Отключение JavaScript. Хотя это может ограничить функциональность некоторых сайтов, отключение JavaScript может заблокировать выполнение скриптов криптоджекинга в браузере.
- Усиление безопасности «облака». Пользуясь облачными сервисами, следует убедиться, что в них установлены надежные конфигурации безопасности. Нужно использовать многофакторную аутентификацию (MFA), ограничить доступ к облачным учетным записям и отслеживать работу с облаком на предмет необычной активности.
Устойчивый к фишингу MFA — это метод, использующий аппаратные ключи безопасности или аутентификаторы на базе FIDO2 для блокировки несанкционированного доступа. Требуя наличия физического устройства, злоумышленникам сложнее внедрить вредонос, что защищает от криптоджекинга.
Даже если кажется, что криптоджекинг — это просто неприятная кража вычислительной мощности, она может иметь долгосрочные последствия, такие как сокращение срока службы устройства, увеличение расходов на электроэнергию и значительное снижение производительности. Защитить себя от криптоджекинга можно, если сохранять бдительность и соблюдать рекомендуемые процедуры кибербезопасности.
Для борьбы с плохими программами следует использовать хорошие программы :)
