זוהתה קבוצת האקרים מתוחכמת שצברה מיליוני דולרים באמצעות קוד זדוני לכריית מטבע קריפטוגרפי
מאת:
מערכת Telecom News, 6.3.18 ,15:40
קבוצת עברייני סייבר זו מחזיקה בטכניקות מעולם ה-APT (התקפות ריגול מתוחכמות) להדבקת משתמשים בתוכנות כרייה. איך פועלת ההתקפה? מעל ל-2.7 מיליון משתמשים הותקפו ע"י כורים זדוניים ב-2017. מה מומלץ לארגונים ומשתמשים פרטיים לעשות?
עברייני סייבר החלו להשתמש בשיטות הדבקה מתוחכמות הלקוחות מהתקפות ממוקדות, כד להתקין תוכנות כרייה. כך, דיווחו חוקרי מעבדת קספרסקי. הקבוצה המצליחה ביותר, שאותרה ע"י החברה ניצלה את קורבנותיה כדי לצבור כ-7 מיליון דולרים במהלך 6 חודשים בלבד במהלך 2017.
על אף ששוק המטבעות הקריפטוגרפיים חווה עליות ומורדות רבים, הזינוק בערך הביטקוין בשנה שעברה השפיע לא רק על הכלכלה הגלובלית, אלא גם על עולם אבטחת הסייבר. כדי להשיג מטבעות קריפטוגרפיים, עבריינים החלו לעשות שימוש בתוכנת כרייה במסגרת התקפותיהם.
בדומה לתוכנות הכופר, תוכנת הכרייה מייצרת עבור העבריינים מודל פשוט ליצירת הכנסות, אבל בשונה מהן, היא אינה הרסנית כלפי המשתמשים ומסוגלת להישאר מוסתרת לאורך זמן רב, תוך שהיא משתמשת בחשאי באנרגיית המחשב המותקף כדי לבצע כרייה.
בספטמבר 2017, זיהתה החברה
גידול בהיקף תוכנות הכרייה, שהחלו להתפשט ברחבי העולם
וחזתה את המשך המגמה. המחקר האחרון שלה חושף, שלא רק שהצמיחה המשיכה, היא אף האיצה והתרחבה.
החוקרים זיהו לאחרונה קבוצת עברייני סייבר המחזיקה בטכניקות מעולם ה-
APT (התקפות ריגול מתוחכמות) להדבקת משתמשים בתוכנות כרייה. הקבוצה עשתה שימוש בשיטת
process-hollowing, שמשמשת בד"כ עבור קוד זדוני ושננצפתה במספר התקפות ממוקדות של עולם ה-
APT, אבל מעולם לא נראתה לפני כן בהתקפות כרייה.
ההתקפה פועלת בדרך הבאה:
מפתים את הקורבן להוריד ולהתקין תוכנת פרסום, כשתוכנת הכרייה מוחבאת בתוכה. מתקין תוכנת הפרסום מפעיל יישום לגיטימי של
חלונות, שמטרתו העיקרית היא להוריד את תוכנת הכרייה משרת מרוחק. לאחר ההפעלה, נפתח במערכת החלונות תהליך (
process) לגיטימי והקוד הלגיטימי של התהליך הופך לקוד זדוני. כתוצאה מכך, תוכנת הכרייה פועלת במסווה של משימה לגיטימית. כך, שלמשתמש לא מתאפשר לזהות אם התרחשה הדבקה.
גם פתרונות אבטחה מתקשים לזהות את האיום הזה. בנוסף, אם המשתמש מנסה לבטל את התהליך, המערכת תאתחל את עצמה. כך, העבריינים מגנים על הנוכחות שלהם במערכת למשך זמן רב יותר.
בהתבסס על התצפיות של החברה, השחקנים שמאחורי התקפות אלה כרו מטבעות
Electroneum והרוויחו, כאמור, כ-7 מיליון דולרים במהלך המחצית השניה של 2017, סכום דומה למה שיוצרי קוד זדוני נהגו להרוויח.
עפ"י נתוני החברה, מעל ל-2.7 מיליון משתמשים הותקפו ע"י כורים זדוניים ב-2017. כמעט 50% יותר מאשר ב-2016 (1.87 מיליון). הם נפלו קורבן באמצעות תוכנות פרסום, משחקים פרוצים ותוכנות פיראטיות, שמשמשים עברייני סייבר כדי
להדביק בחשאי מחשבים אישיים.
גישה אחרת משתמשת בכרייה ברשת, באמצעות הטמנת קוד מיוחד בעמוד רשת נגוע. השימוש הנפוץ ביותר בתוכנת כרייה ברשת היה
CoinHive, שנחשף באתרים פופולריים רבים.
כדי להישאר מוגנים מומלץ על הצעדים הבאים:
- אל תיכנסו לאתרים, שאינם מוכרים, ואל תלחצו על באנרים ומודעות חשודות.
- אל תורידו ותפתחו קבצים בלתי מוכרים או ממקורות בלתי מורשים.
- התקינו פתרון אבטחה אמין, שיזהה את האיומים האפשריים ויגן מפניהם, כולל תוכנות כרייה.
לארגונים, מומלץ על הצעדים הבאים:
- ביצוע סקירה וביקורת אבטחה על בסיס קבוע,
- התקנת פתרון אבטחה אמין על כל תחנות העבודה והשרתים, ווידוא שכל הרכיבים מופעלים כדי להבטיח הגנה מרבית.
אנטון איבנוב, אנליסט קוד זדוני במעבדת קספרסקי: "אנו רואים, שתוכנות הכופר תפסו את הספסל האחורי והן מפנות את הדרך לכורים. הדבר מגובה ע"י הסטטיסטיקות שלנו המצביעות על צמיחה רציפה של פעילות הכורים לאורך השנה, ובעובדה, שקבוצות עברייני סייבר מפתחות שיטות כרייה משלהן והן החלו להשתמש בטכניקות מתוחכמות יותר להפצתן. ראינו כבר אבולוציה כזו. האקרים של תוכנות כופר עשו שימוש באותם טריקים כאשר תוכנות אלו היו בצמיחה".
מידע נוסף ומפורט מאד כולל גרפים ואיורים - כאן.
