Crypto-info-maker Сейчас уже всем ясно, что шпионские программы, внедряемые на компьютеры пользователей с целью майнинга криптовалют в фоновом режиме, в ближайшее время будут оставаться частью сложившейся реальности.
Объяснить, что такое криптоджекинг, довольно просто. Это незаконный вид деятельности, основанный на инфицировании компьютеров вредоносным ПО, которое осуществляет майнинг криптовалют в пользу злоумышленника. В настоящее время криптоджекинг проявляется в разных формах. Это могут быть не только вредоносные программы, но и браузерные скрипты, которые внедряются во взломанные хакерами платформы. Этот бизнес привлекает многочисленных мошенников, поскольку является очень выгодным, особенно, если речь идет о корпорациях мирового уровня.
Атаки путем криптоджекинга
За последние месяцы атакам путем криптоджекинга подверглось достаточно большое количество известных компаний. Среди наиболее примечательных жертв - британская страховая компания Aviva и крупнейший в мире производитель SIM-карт Gemalto. В обоих этих случаях реквизиты доступа к учетным записям компаний в Amazon Web Services и Microsoft Azure оказались доступны злоумышленникам из-за недостаточно качественных мер безопасности. Завладев такими данными, преступники смогли инфицировать эти платформы и начать майнить Monero и Zcash. В течение некоторого времени им удавалось скрытно заниматься этой деятельностью, но затем проблема была успешно устранена.
К сожалению, есть и другие крупные компании, ставшие жертвами криптоджекинга. На самом деле, эта угроза сейчас приобрела такие масштабы, что риски для крупных компаний велики, как никогда. К тому же, методы атак, применяемые сейчас, отличаются от тех, которые использовались раньше. Специальные виды шпионских программ крадут учетные данные из памяти компьютера, а другие используют скрытые инструменты майнинга, чтобы генерировать криптовалюты, не создавая чрезмерной нагрузки для системы.
Одной из последних жертв криптоджекинга оказался никто иной, как компания Tesla. Анализ, проведенный RedLock CSI, показал, что консоль Tesla была взломана потому, что не была должным образом защищена с помощью пароля. В результате, хакеры получили доступ к учетным данным корпоративной среды AWS. С их помощью злоумышленники смогли установить на серверах компании программу для майнинга и скрытно генерировать неизвестную криптовалюту. К счастью, проблема уже решена. Однако этот случай продемонстрировал, как много еще предстоит сделать отделу безопасности Tesla.
Данное происшествие особенно интересно тем, что для генерирования криптовалюты злоумышленники не использовали публичный майнинг-пул. Вместо этого они установили шпионскую программу, подключенную к незарегистрированной конечной точке, что позволило системе безопасности Tesla сразу же обнаружить такую активность. Кроме того, IP-адрес сервиса майнингового пула был замаскирован с помощью CloudFlare. Это позволяло злоумышленникам включать и отключать этот адрес пула всего в несколько кликов. Таким образом, проблема данного пула пока не решена, и он продолжает функционировать.
Примечательно, что новые вредоносные программы подобного рода довольно успешно маскируют эксплуатацию ресурсов процессора. Зараженная панель управления Tesla Kubernetes не показывала большого роста нагрузки ЦП, что довольно интересно. Это в очередной раз подтверждает, что злоумышленники готовы модифицировать свои программы, чтобы они как можно дольше оставались не выявленными. Пока остается неясным, сколько денег хакеры заработали за то время, пока сервера Tesla оставались инфицированными.