מחקר חדש של אקווה סקיוריטי: דור חדש של מתקפות כריית מטבעות קריפטוגרפיים מצליח להסתנן מתחת לרדאר ולגנוב רוחב פס מפלטפורמות ענן

קבוצות פשיעת סייבר תרות כל הזמן אחרי הזדמנויות להגדיל את רווחיהן ופונות למתקפות כריית מטבעות קריפטוגרפיים מכיוון שהן נחשבות קלות לביצוע ורווחיות מאוד. כריית המטבעות הקריפטוגרפיים מבוססת על תהליך חישובי מורכב הדורש כוח עיבוד רב שמעמיס על המעבד ומייקר את חשבון החשמל (או חשבון השימוש בפלטפורמת מחשוב בענן) החודשי. צוות המחקר נאוטילוס (Nautilus) של אקווה סקיוריטי (Aqua Security), המפתחת פתרונות אבטחת מידע לסביבות הענן, זיהה סוג חדש של מתקפת כריית מטבעות קריפטו בענן.

"למיטב ידיעתנו טרם דווח על סוג המתקפה הזו. בשונה ממתקפות כריית המטבעות קריפטוגרפיים המסורתיות שמטרתן להשתלט על כמה שיותר משאבי עיבוד, המתקפה החדשה משמשת לגניבת רוחב הפס של המערכת המותקפת", אמר אסף מורג, ראש תחום מודיעין סייבר וניתוח נתונים בצוות המחקר נאוטילוס של אקווה סקיוריטי.

טרם הצגת ממצאי המחקר המרכזיים שנחקרו על ידי צוות המחקר נאוטילוס, חשוב להכיר שני מושגים מהותיים שעולים במחקר:

PKT Cash – מטבע קריפטוגרפי חדש – PKT היא רשת מבוזרת על בסיס טכנולוגית הבלוקצ'יין המאפשרת למשתמשים להרוויח כסף משיתוף רוחב הפס של חיבור האינטרנט שלהם עם הקהילה. מטרת הרשת היא להעביר את רוחב הפס שלא נמצא בשימוש אל משתמשים בקהילה שיש להם רוחב פס מוגבל, וככל שהמשתמשים משתפים יותר רוחב פס כך גדל התשלום שהם מקבלים בתמורה. ההצטרפות לרשת פשוטה ומהירה: כל מה שהמשתמשים מתבקשים לעשות הוא להוריד תוכנה בשם PacketCrypt שדרכה ישותף רוחב הפס שלהם עם רשת PKT.

Peer2profit – היא מערכת המבוססת על גבי טכנולוגיית PKT Cash שמטרתה למשוך לרשת משתמשים עם הבנה ורקע טכני מועט. מפתחי המערכת מדגישים את ההזדמנות הכלכלית הטמונה בשימוש בה ופחות את אופן פעולתה. לרוב, מפורסם המידע באתר כלשהו וכולל קישורים להורדת התוכנה עבור מערכות הפעלה שונות ומכשירים ניידים.

כרייה זדונית של מטבעות קריפטוגרפיים היא לא דבר חדש אז מה כל כך מיוחד כאן?

באופן מסורתי, חיפשו כורי המטבעות הקריפטוגרפיים להשתלט על כמה שיותר כוח מחשוב כדי לזרז את החישובים המורכבים הנדרשים לכריית המטבעות הקריפטוגרפיים ולכן הגבירו דרמטית את פעילות המעבד של המערכות המותקפות. לעומתן, התוכנות לכריית מטבעות קריפטו מ"הדור החדש" פחות מנצלות את המעבד אבל משתלטות על כל רוחב הפס הפנוי של המערכת. כך הן מצליחות לפעול ברקע "מתחת לרדאר" מבלי להתגלות על ידי כלי אבטחה מסוימים הבנויים להתריע רק על שימוש גבוה וחריג במשאבי העיבוד ולכן עלולים להחמיץ את המתקפות לגניבת רוחב הפס. צוות המחקר של נאוטילוס הריץ את הקובץ הבינארי של תוכנת PacketCrypt המוזכרת לעיל, במשך כמה שעות. בעקבות כך התגלה שלכל אורך הבדיקה עמד השימוש במעבד על 200%. לשם השוואה, בהרצת XMRIG (תוכנה לכריית מטבעות קריפטוגרפיים מהדור הישן), עמד השימוש במעבד על 800% עד 900%.

המתקפות בשטח

צוות המחקר זיהה את הסוג החדש של מתקפות הכרייה, כשמקור המתקפה עצמה היה חשבון ברשת peer2profit. מכיוון שהקונטיינר הציג התנהגות דומה לתוכנה לכריית מטבעות קריפטו וסווג כך על ידי כלי הזיהוי של נאטילוס, לא ייוחס למתקפה חשיבות מיוחדת ולא הוקצו משאבים מיוחדים כדי לרדת לשורש העניין. בהמשך, זוהתה מתקפה נוספת שהשתמשה ברוטקיט (rootkits ) שונים הפועלים במרחב המשתמש כדי להסוות את הפעילות. התנהגות זו הדליקה נורה אדומה בקרב החוקרים, ובעקבותיה התגלתה עלייה ניכרת בפעילות ברשת.

עוד עולה מהמחקר, כי נחשף מכנה משותף בין מערכת peer2profit למטבע הקריפטוגרפי PKT Cash: בשני המקרים המטרה היא רוחב הפס הפנוי של המערכת. כדי להבין את היקף התופעה נעשה חיפוש ב־GitHub לפרוייקטי תוכנה המשתמשים באלגוריתמים לכריית המטבע הקריפטוגרפי PKT Cash. בצוות המחקר של אקווה מדגישים כי לא כל שימוש באלגוריתם הזה מעיד על כוונה זדונית ולכן התוכנות האלו לא מוגדרות כנוזקה אלא כתוכנה מפוקפקת שייתכן שאינה רצויה (PUA). אף־על־פי־כן, צוות המחקר קבע שהקוד שימש לפעילות זדונית מכיוון שבחלק מהמקרים נעשה ניסיון מכוון להסתיר את מטרתו האמיתית של הקוד על ידי הסוואת שם האלגוריתם או שם התהליך. במקרים אחרים, הכיל הקוד רכיבים מסוג רוטקיט הרצים במרחב המשתמש, או שאותו קטע קוד שוכפל מאות או אלפי פעמים ללא כל הסבר מניח את הדעת מלבד יצירת יתירות לשיפור הסיכויים להרצת הקוד הזדוני.

מסקנות

צוות נאטילוס ריכז את הממצאים והגיע למסקנות המרכזיות הבאות:

• רוב המאגרים שנותחו הם של תוכנות לגיטימיות.
• בשיעור של כ־6% מהמאגרים התגלו ממצאים חשודים שעלולים להעיד על כוונה זדונית.

המחקר גילה תוכנות חשודות בGitHub- המשתמשות ב-PacketCrypt. פרוייקטי תוכנה רבים משתמשים באלגוריתם, אבל לאחר שנותחו כולם, זוהו שלוש קבוצות חשודות: קבוצת התקיפה Maphilindo, קבוצת התקיפה Rikzakalani, והתחזות לשפת התכנות פייתון/מנהל החבילות Conda.

פלטפורמות המטרה

בחלק ממאגרי הקוד האלה נתגלו יותר מפלטפורמת מטרה אחת. אפשר לחלק את הפלטפורמות לשתי קבוצות: פלטפורמות שירותי אינטגרציה רציפה (CI) ופלטפורמות המאפשרות הרצה מוגבלת של קונטיינרים או מכונות וירטואליות במסגרת החשבון החינמי. הפלטפורמות האלו אמנם לא מתאימות למתקפות כרייה שמטרתן להשתלט על משאבי עיבוד רבים, אבל עבור מתקפות גניבת רוחב פס מדובר במטרה נחשקת מאוד. מניתוח מאגרי הקוד עלה כי Heroku היא פלטפורמת המטרה הנפוצה ביותר מכיוון שהיא מאפשרת להריץ קונטיינרים גם בחשבון החינמי, אבל היא לא לבד. Streamlit, Colab, Platform.sh, Replit, Glitch ופלטפורמות נוספות מציעות גם הן אפשרות להרצת יישומים במסגרת החשבון החינמי. משאבי העיבוד אמנם מוגבלים, אבל כשהמטרה היא להשתלט על רוחב פס ולא על משאבי עיבוד הן הופכות למטרה נחשקת. בנוסף צוות המחקר גילה מאגרי קוד רבים שמשתמשים בפלטפורמות Github Workflows, Azure Pipelines, Circle CI ובאחרות לבניית היישומים לכריית מטבעות קריפטו והרצתם. נאוטילוס בדק את תנאי השירות של כל אחת מהפלטפורמות האלו, ובכולן נאסר במפורש על הרצת תוכנות לכריית מטבעות קריפטו.

הצוות ניתח את כל מאגרי הקוד האלה בניסיון לקבוע אם באמת יש לתוקפים יכולת להריץ את התוכנות לכריית מטבעות קריפטו על גבי הפלטפורמות האלו. הצוות ניסה להריץ את התוכנות לכריית מטבעות קריפטו על גבי פלטפורמות Github Workflows, Azure Pipelines ו־Circle CI אך ללא הצלחה, הניסיון זוהה ונחסם על ידי המערכת. משום ש־Heroku היא פלטפורמת המטרה הנפוצה ביותר, הצוות ניסה להריץ את הקוד גם בה ומצא כי בתנאים מסוימים אכן אפשר להריץ את התוכנות לכריית המטבעות  הללו מבלי שהם יתגלו על ידי המערכת.

על פי אסף איתני, חוקר אבטחת מידע בצוות נאוטילוס של אקווה סקיוריטי, "המסקנה העיקרית היא שכדי למנוע התקפות מסוג הדור החדש, ארגונים צריכים להריץ כלי אבטחת סייבר לניתוח סטטי ודינמי של קונטיינרים באופן דומה לחבילות קוד רגילות כמו Javascript, וכך יוכלו לחשוף ולמנוע גניבת רוחב פס ומתקפות נוספות".