Перевод Подкаст Research Saturday на CyberWire - "Криптоджекинг продолжается"

Тема в разделе "Статьи", создана пользователем AgentLvM, 27 окт 2018.

  1. AgentLvM

    Команда форума Модератор Редактор

    Регистрация:
    19 авг 2017
    Сообщения:
    59
    Симпатии:
    39
    1.jpg

    Исследователи из подразделения 42 Palo Alto Networks наблюдают рост случаев криптоджекинга (скрытого майнинга криптовалют на устройствах пользователей), которые совершаются различными преступными группами по всему миру. Раян Олсон, вице-президент компании Palo Alto Networks (занимающейся поиском угроз в программном обеспечении), присоединяется к нам в нашем еженедельном подкасте, чтобы поделиться результатами своих исследований.

    Прослушать оригинальную запись можно здесь:
    https://www.thecyberwire.com/podcasts/cw-podcasts-rs-2018-10-06.html#sthash.9XOvRAmF.dpuf

    Стенограмма подкаста:

    Дэйв Биттнер: [00:00:03] Приветствуем всех и добро пожаловать на подкаст CyberWire's Research Saturday, представленный Hewlett Foundation's Cyber Initiative. Я Дэйв Биттнер, и это наш еженедельный разговор с исследователями и аналитиками, которые отслеживают угрозы безопасности и уязвимости в программном обеспечении, а также решают различные трудные задачи, связанные с защитой в быстро развивающемся киберпространстве. Спасибо, что слушаете наш подкаст.

    Дэйв Биттнер: [00:00:26] А сейчас самое время представить вам нашего спонсора Hewlett Foundation's Cyber Initiative. В то время как правительство и корпорации сосредоточены на предотвращении новейших кибер-атак, нам все еще нужно больше учреждений и отдельных лиц, которые продолжительное время были бы готовы заниматься более насущными проблемами. Это люди, которые помогают создавать нормы и политики безопасности, которые будут защищать нас в киберпространстве. Cyber Initiative поддерживает политику безопасности, которая предлагает продуманные решения сложных задач на благо общества во всем мире. Узнать подробнее о деятельности компании можно на hewlett.org/cyber.

    Дэйв Биттнер: [00:01:02] И благодаря нашему спонсору, Enveil, чье революционное решение, ZeroReveal, закрывает последний пробел в безопасности данных: их защиту в процессе использования. Это первое и единственное в отрасли масштабируемое коммерческое решение, позволяющее сохранять данные зашифрованными на протяжении всего жизненного цикла их обработки. Представьте себе, что теперь вы можете анализировать, искать и проводить вычисления с конфиденциальными данными – и все это никогда не будет расшифровано третьими лицами. Все это без риска кражи информации или непреднамеренного на нее воздействия. То, что когда-то было возможно только теоретически, теперь возможно практически с Enveil. Узнать подробнее о компании можно на сайте enveil.com.

    Раян Олсон: [00:01:42] Итак, мы наблюдали атаки, связанные с использованием криптовалют с момента начала их разработки.

    Дейв Биттнер: [00:01:48] Это Раян Олсон. Он является вице-президентом отдела Threat Intelligence для подразделения Palo Alto Networks 42. Исследование, которое мы будем обсуждать сегодня, носит название «Нашествие криптовалютных майнеров». Первоначально автором этого исследования был Джош Грунцвейг.

    Раян Олсон: [00:02:02] Люди пытались скрыто устанавливать майнеры - программы, которые фактически выполняли все необходимые вычисления с целью добычи криптовалюты на чужих компьютерах, используя мощности процессоров этих компьютеров. Но подобная деятельность была не очень распространена до конца прошлого года. С конца 2017 года или где-то в начале 2018 года мы начали фиксировать все большее число подобных случаев. И это очень хорошо совпало с периодом роста цен на Bitcoin и другие криптовалюты в то время. В ноябре прошлого года Bitcoin стрелял до цены в около двадцати тысяч долларов за монету, а курс других криптовалют рос вместе с ним.

    Раян Олсон: [00:02:35] И когда цены выросли, мы начали фиксировать атаки того же типа, которые ранее наблюдались при использовании программ-вымогателей, другого способа заработка денег в крупных широкомасштабных атаках. В этот раз использование данных уязвимостей было изменено с целью установки программ, которые будут добывать криптовалюту. И тогда мы начали все чаще узнавать о подобных атаках в течение 2018 года, и они все еще продолжаются сегодня в небольшом количестве. Несмотря на то, что цены на криптовалюты немного снизились с бывалых значений конца прошлого года, они все еще намного выше, чем два или три года назад, и добыча криптовалют все еще очень выгодна. Происходит отнюдь не майнинг Bitcoin, а других монет. Особенно часто добывают монету под названием Monero, чаще, чем любую другую.

    Дэйв Биттнер: [00:03:13] Итак, давай начнем сначала, разберемся с терминологией, просто обратившись к основным понятиям. Когда мы говорим, что кто-то занимается криптоджекингом или криптомайнингом, что именно мы имеем в виду?

    Раян Олсон: [00:03:21] Итак, когда вопрос стоит о том, как работает большинство криптовалют, следует упомянуть о технологии под названием блокчейн. И способе, с помощью которого формируется блокчейн. По сути, это распределенная книга транзакций, и каждый раз, когда кто-то хочет отправить часть монет на другой адрес, должны осуществляться некоторые вычисления. Эти вычисления должны выполняться как доказательство работы, для подтверждения, что сделка была фактически законной. И именно этот процесс вычислений называется майнингом или добычей.

    Раян Олсон: [00:03:42] И причина, по которой мы называем это майнингом или добычей, заключается в том, что в процессе выполнения всех этих вычислений кому-то достается награда за работу. Первый человек, который правильно решит эту небольшую математическую задачу, получает небольшое количество криптовалюты. Таким образом, с помощью майнинга можно получить Bitcoin, Monero или какую-то другую криптовалюту, в зависимости от того, каким программным обеспечением пользоваться и на добычу какой монеты настроить процесс майнинга.

    Раян Олсон: [00:03:59] И из-за существования этого процесса майнинга уже построены огромные серверные фермы по всему миру, которые добывают различные виды криптовалют. И они могут использовать как обычные процессоры, такие как тот, что на вашем компьютере, так и специализированное оборудование (ASIC), чтобы сделать процесс майнинга как можно быстрее, потому что каждый хочет «выиграть гонку». И в этом процессе майнинга злоумышленниками являются люди, пытающиеся захватить мощность вашего центрального процессора (CPU) или в некоторых случаях вашего графического процессора (GPU), с целью использовать эту вычислительную мощность для добычи монеты от их имени, чтобы именно они могли получить награду за майнинг, а не вы или кто-то другой.

    Дэйв Биттнер: [00:04:29] Итак, можете ли вы описать нам, какими способами эти злоумышленники могут завладеть мощностью моего компьютера или атаковать системы моего предприятия, чтобы иметь возможность делать подобные вещи?

    Раян Олсон: [00:04:38] Итак, в действительности есть два основных способа, с помощью которых можно завладеть мощностями и заниматься тем, что я бы назвал незаконным криптомайнингом или, если угодно, можно называть этот процесс криптоджекингом. Но иногда данный термин путают с процессом кражи криптовалюты у других людей, здесь же имеется в виду незаконный процесс добычи монет. И первый из способов использовать ваш браузер, а другой способ - захватить ваш компьютер с помощью вредоносных или потенциально опасных программ, например, для удаленного администрирования.

    Раян Олсон: [00:04:56] Таким образом, способ добычи через браузер является относительно простым. Кто-то вставляет какой-то JavaScript в веб-страницу, и когда вы посещаете эту веб-страницу, вы, сами того не зная, незаметно запускаете процесс майнинга криптовалюты в фоновом режиме. Ваш процессор в этот момент используется вашим браузером для процесса добычи криптовалют.

    Раян Олсон: [00:05:13] И этот код был изначально предложен как способ для людей, владельцев сетевых ресурсов, зарабатывать деньги на своих веб-сайтах вместо просмотра пользователями рекламы. Таков был изначальный смысл. То есть вы жертвовали немного вычислительной мощности вашего процессора, пока посещали чей-то сайт. Если сам сайт предупреждает об этом своих пользователей, то все законно. Должно быть уведомление для посетителей, что им не будет показываться какая-либо реклама, но вместо этого будет использоваться немного вычислительной мощности ихнего процессора, пока они находятся на странице сайта. И если предупреждение было сделано заранее, то все законно.

    Раян Олсон: [00:05:37] Но мы фиксировали много внедрений кода JavaScript на страницы без ведома людей, и эти сайты в действительности просто крали вычислительные мощности процессоров своих посетителей. Это означало, что эти страницы не только добывали злоумышленникам монеты, но так же, как вы, наверное, знаете, изнашивали оборудование посетителей. Итак, майнинг криптовалют с помощью внедрения кода JavaScript на страницах сайтов - это один из самых распространённых способов криптоджекинга, который мы наблюдали.

    Раян Олсон: [00:05:54] Другим распространённым способом криптоджекинга было внедрение криптовалютного майнера на основе исполняемого файла. Это такой же способ, как если бы кто-то заразил ваш компьютер неким вредоносным ПО, будь то программой-вымогателем, банковским трояном или чем-то в этом роде. Все они используют одни и те же методы, но конечной целью внедрения подобного программного обеспечения всегда будет взять под контроль управление вашим компьютером. Но в данном конкретном случае вместо этого просто запускался процесс майнинга криптовалюты. И он запускался от имени злоумышленников, чтобы именно они зарабатывали деньги на свои криптовалютные кошельки. Это два самых распространённых способа криптоджекинга.

    Дэйв Биттнер: [00:06:17] Давайте сделаем обзор некоторых исследований, которые вы провели в данной области. Вы обнаружили большое число уникальных образцов криптовалютных майнеров. Можете ли вы подробно описать, какие разновидности вам чаще всего попадались?

    Раян Олсон: [00:06:27] Да, поэтому Palo Alto Networks управляет очень большой платформой обеспечения безопасности, чтобы защитить всех наших клиентов. И один из компонентов нашей платформы собирает экземпляры вредоносных исполняемых файлов. Когда они проходят через наши брандмауэры или работают на узлах, на которых установлен наш агент, мы можем посмотреть на них и определить, являются ли эти файлы злонамеренными или используются в законных целях.

    Раян Олсон: [00:06:47] И в конце прошлого года мы начали фиксировать всплеск из вредоносного ПО, которое выполняло захват мощностей с целью майнинга криптовалют. Таким образом, мы стали более тесно копаться в экземплярах исполняемых файлов и пытались собрать некоторые связанные с ними статистические данные. Насколько распространены эти майнеры, какие валюты добываются больше всего, и насколько в действительности эффективна добыча? И мы обнаружили, что они были очень распространены. Мы начали наблюдать, как они постепенно вытесняют многое другое вредоносное ПО, которое было очень распространено, как вы, наверное, знаете, в 2013 году.

    Раян Олсон: [00:07:11] И валюта, которую чаще всего добывали, носит название Monero. На это есть несколько причин. У Monero есть клоны из тысячи других криптовалют. Популярными являются сотни из них. Известно, что лишь немногие из них обладают достаточной популярностью и имеют какую-то ценность, но Monero является главной из всех. И причина, по которой данная монета имеет высокую ценность, заключается в том, что люди искренне заинтересованы в ней, так как у нее есть несколько интересных свойств.

    Раян Олсон: [00:07:31] Одно из них - это закрытый блокчейн, организация которого совсем не такая, как в Bitcoin, у которого открытый блокчейн. То есть в Bitcoin вы можете увидеть и отследить каждую транзакцию. Всегда можно узнать, что средства с одного кошелька отправлены на другой кошелек, и вы всегда знаете их адреса и суммы отправления. Вы не знаете, кому точно принадлежат все эти кошельки, но если у вас есть информация о владельце хотя бы одного из них, то наверняка узнаете, кто владеет другим, то есть можно увидеть все связанные с ним транзакции. Monero закрытая система, поэтому вы фактически не можете посмотреть внутри сети, как связаны эти транзакции. Разработчики построили сеть таким образом, чтобы сохранить конфиденциальность отправителей. Это, кстати, была главная цель проекта.

    Раян Олсон: [00:07:56] Во-вторых, Monero был спроектирован таким образом, чтобы вычисления, которые должны выполняться для добычи монет, было очень сложно проводить на специализированном оборудовании, таком как ASIC. Вместо этого Monero очень эффективно майнить на обычном центральном процессоре вроде Intel, который находится внутри вашего ноутбука.

    Раян Олсон: [00:08:15] И из-за этих двух вещей у нас теперь есть валюта, которая очень сфокусирована на конфиденциальности. Поэтому если кто-то отправляет монеты, которые были незаконно добыты, во-первых, его трудно отследить, как и того, кто на самом деле ими владеет. И, во-вторых, монеты могут на самом деле добываться на обычных процессорах путем заражения компьютеров ничего не подозревающих пользователей, и на этом можно заработать хорошие деньги. Это может сделать монету самой популярной криптовалютой из доступных сегодня, даже гораздо более популярной, чем Bitcoin.

    Дэйв Биттнер: [00:08:37] Теперь, когда вы провели эту интересную исследовательскую работу, дело дошло до того, что вы получили некоторые из статистических данных по Monero. Несмотря на то, что сеть криптовалюты основана на принципах обеспечения конфиденциальности, я полагаю, вы все еще могли узнать некоторые интересные вещи.

    Раян Олсон: [00:08:51] Да. Итак, сначала я хотел бы упомянуть человека, который стоит за всеми этими исследованиями, его зовут Джош Грунцвейг. Он является участником Unit 42 в Palo Alto Networks, именно он сделал все это, и это была фантастическая работа. И то, что выяснил Джош, оказалось относительно простой вещью. Хотя кошельки скрыты, и вы не можете видеть транзакции, проходящие из кошелька в кошелек, все же еще можно узнать, как организована система майнинга в Monero. Для более эффективного процесса добычи люди объединяют все добывающие компьютеры вместе. Такое объединение называется пулами. Различные пулы майнеров работают вместе и делят награду между собой.

    Раян Олсон: [00:09:19] И причина такого объединения в том, что если вы просто запустили один компьютер и пытаетесь добыть следующий блок в блокчейне Monero, то вероятность того, что вы достигните успеха, чрезвычайно мала, используя всего лишь один компьютер. Потому что в процессе участвует очень много других компьютеров, которые конкурируют между собой. И всего лишь одна система получает вознаграждение, а сами эти вознаграждения выходят только каждые несколько минут. Таким образом, вы можете потратить много времени и вычислительных ресурсов, но так ничего и не получить.

    Раян Олсон: [00:09:42] Итак, люди объединяются в то, что мы называем пулами для майнинга. То есть если вы соберете, скажем, десять тысяч компьютеров в майнинг-пул, и они все будут работать вместе, то вы соглашаетесь с тем, что, исходя из количества выполненных вами вычислений, вы собираетесь разделить награду равномерно между ними через ваш пул. Тогда вы сможете получать вознаграждения гораздо более последовательно.

    Раян Олсон: [00:10:01] Итак, что делают люди, которые занимаются криптоджекингом криптовалют, они фактически работают внутри этих пулов. Это значит, что если вы сможете получить информацию из пула, то сможете изучить вредоносное ПО и узнать, с каким пулом оно работает, а также посмотреть идентификационный номер, который на самом деле поступает в майнер. Этот идентификатор должен предоставить информацию о пуле, чтобы добывающее устройство смогло получать вознаграждения за свои операции по майнингу. Мы можем подробно узнать из пула, насколько успешным был каждый из запущенных майнеров.

    Раян Олсон: [00:10:29] Итак, мы рассмотрели все исполняемые файлы, которые прошли через нашу платформу, извлекли информацию с пулов для майнинга криптовалют, которые они использовали, узнали идентификаторы, которые использовались этими лицами майнеров, а затем посчитали, сколько они фактически добыли конкретной криптовалюты? Сколько денег они сделали? Именно так мы смогли определить общее количество XMR (это тикер, который используется для обозначения монет Monero). Этими майнерами в основном были добыты Monero, а также была получена информация об общей ценности полученных монет.

    Дейв Биттнер: [00:10:54] И это не мало. Просветите нас, какими были общие суммы в XMR, и сколько это будет в долларах?

    Раян Олсон: [00:11:03] Да, конечно, но стоит иметь в виду, что цена криптовалют сильно меняется со временем. Когда мы впервые вычислили общую сумму, а это было в мае, то увидели, что общая стоимость всех XMR составила около 143 миллионов долларов США. Это было около 800 тысяч XMR, которые были добыты в тот момент, а стоимость одной монеты составляла примерно около 180 долларов США. Сейчас цена уже немного ниже, но, на самом деле, сейчас это составляет примерно половину от того, что было в то время. Потому что Monero пережила падение наряду с Bitcoin и большинством других монет. Но мы все же говорим о десятках миллионов долларов, и если злоумышленники фактически обменяли свои Monero в то время на доллары США, то они сделали эти деньги и конвертировали их в какую-нибудь фиатную валюту, которая, скорее всего, особо не потеряла в своей стоимости.

    Дейв Биттнер: [00:11:45] Теперь каково ваше личное мнение о том, сколько злоумышленники могут заработать на этом? Я имею в виду, что по этим данным очевидно, что подобная деятельность достаточно выгодна, раз они этим занимаются. Но все же ваше личное мнение?

    Раян Олсон: [00:11:54] Я не знаю точно, какова их чистая прибыль. Вообще, когда мы говорим о прибыли от майнинга криптовалют, следует учитывать, что нужно покупать оборудование, затем надо чтобы кто-то управлял всем этим оборудованием, следил за его охлаждением и делал все остальное.

    Дейв Биттнер: [00:12:04] Верно.

    Раян Олсон: [00:12:04] Так что, знаете ли, майнинг Bitcoin дорогостоящий процесс сам по себе. В данном случае злоумышленники воруют контроль над ресурсами у других людей и их аппаратное обеспечение. Таким образом, они используют чужие ноутбуки, чужие серверы, любые устройства, которые они могут заразить. Из-за этого их прибыль действительно гораздо больше при гораздо меньших затратах. Как еще эффективнее можно бы было использовать все эти взломанные компьютеры, если не добывать Monero?

    Раян Олсон: [00:12:29] Итак, если посмотреть на эту возможность с точки зрения злоумышленника, который заражает компьютеры, раньше они бы использовали этот компьютер для вымогательства с целью выкупа и сообщили пользователю, что ему нужно заплатить 500 долларов в Bitcoin или, возможно, в другой криптовалюте. Если же он этого не сделает, то не получит ключ для расшифровки своих файлов. Вероятно, они все же получали по 500 долларов из небольшой доли от общего числа инфицированных устройств. Но большинство не платит. У некоторых людей есть резервные копии их данных. Некоторые люди просто не умеют пользоваться криптовалютами по какой-то причине. Так что очень небольшая часть из зараженных устройств приносит злоумышленникам эти 500 долларов за расшифровку.

    Раян Олсон: [00:12:57] Исходя их этого, злоумышленники должны сделать расчеты, сколько они смогут получить с зараженного хоста, если будут использовать его в альтернативных целях, например, для вымогательства. Затем сравнить эти цифры с возможным доходом от запуска майнера на примерное количество времени. И этот доход зависит от того, насколько долго они смогут держать свой майнер запущенным на хосте и держать его скрытым от пользователя? Потому что если он работает только в течение пяти минут, не получиться заработать очень много денег. Если же он проработает в течение года, это может стать действительно хорошим источником дохода для злоумышленника по сравнению с использованием хоста с целью получения выкупа.

    Раян Олсон: [00:13:24] И второе, что нужно учитывать, когда дело доходит до расчета ROI (рентабельности) для нахождения компромисса между выгодой и нанесением умышленного вреда. И это то, что, по-моему, является наиболее сильным аргументом в пользу криптоджекинга в данный момент. Если вы заразите компьютер с целью вымогательства, и, скажем, вы знаете, что, например, если заразить компьютер, который физически находится в Бангладеше, то у человека, который владеет им, может не быть достаточного количества денег, чтобы заплатить выкуп. А еще у этого человека может не быть никаких важных данных, которые действительно стоят того, за чтобы за них платить.

    Раян Олсон: [00:13:51] Но если вы заразите такой компьютер криптомайнером, то он по-прежнему будет приносить вам прибыль с той же частотой, что и любой другой компьютер в любом другом месте на планете, независимо от того, кто именно им владеет и какие данные хранятся на нем. Это значит, что с точки зрения неизбирательной атаки, как бы нацеленной на максимально возможное количество систем, криптоджекинг может быть действительно более эффективным, и вы просто не сможете столь же эффективно получать прибыль от выкупов за расшифровку данных инфицированных систем.

    Раян Олсон: [00:14:11] При атаках с требованием выкупа вы должны убедиться, что правильно настроили язык, чтобы человек смог прочитать и понять ваше сообщение о том, что вы держите под контролем его файлы. Вы также должны убедиться в том, что у этого человека есть деньги и он сможет все оплатить. И во все эти риски должна быть включена их стоимость либо связанное с ними время, иначе инфицированный хост будет потрачен впустую. Поэтому некоторые злоумышленники применяют фильтр с целью выбора поставленной задачи для зараженной системы. Например, если они узнают, что система, которую они собираются инфицировать, находится в определенном месте или относится к определенному типу, то на нее будет установлен майнер или же шифровальщик с последующим требованием выплаты, если устройство находится в местах, где люди с большей вероятностью станут платить.

    Дэйв Биттнер: [00:14:45] Кажется, что скрытый майнинг криптовалют скорее предоставляет некоторые неудобства, в отличии от катастрофических последствий, которые могут произойти при заражении программами-вымогателями.

    Раян Олсон: [00:14:55] Именно так оно и есть.

    Дэйв Биттнер: [00:14:55] Если у меня тайно добывается криптовалюта без моего ведома на моей системе, то я, возможно, даже никогда этого не узнаю, и для меня лично не случиться ничего страшного, в отличие от атаки вымогателем-шифровальщиком. Это не привлечет мое внимание, и я точно не стану обращаться к правоохранительным органам за помощью.

    Раян Олсон: [00:15:06] Да. И это снижает риск запуска подобных атак. Если жертва не испытывает какого-либо воздействия, или это не выглядит как действия, которые могут касаться правоохранительных органов, то о данной атаке им не сообщают. Несмотря на фактическую доходность от подобной деятельности, гораздо менее вероятно, что правоохранительные органы станут преследовать злоумышленников, арестовывать их или сажать в тюрьму. И это один из больших плюсов в данной разновидности преступной деятельности.

    Раян Олсон: [00:15:26] И если вы размышляете об истории такого типа атак, то следует сказать, что подобный вид заработка совсем не новый. Программы-вымогатели (ransomware) на самом деле являются одними из первых вредоносных программ, которые входят в класс атак, направленных на воздействие на личность, как, например, попытка закрытия вашего бизнеса приводит к немедленной обратной реакции со стороны собственника. В случае с банковскими троянами, которые, как вы наверно знаете, крали номера кредитных карт во время входа на сайт или во время онлайн-покупок с помощью карты, когда пользователь не сразу замечает, что его счет скомпрометирован. Владелец карты узнает, что что-то произошло, уже только после того, как была совершена покупка или происходит перевод средств на другой счет, или же когда на карте вообще не оказывается средств, но это уже немного другая история.

    Раян Олсон: [00:15:56] Если заглянуть немного в прошлое, то в те дни мы чаще всего встречали различные программы-вымогатели или разного рода навязчивое рекламное ПО. Данные типы угроз обнаруживались чаще всего и гораздо менее распространены сейчас. И рекламное ПО по своей сути так же приносит некоторые неудобства. Оно раздражает пользователей. И хотя оно постоянно у вас на виду, вы видите только рекламу и получаете различные всплывающие окна, а тем временем ваш компьютер, возможно, отправляет спам. Это своего рода атака, при которой истинные процессы остаются за кадром. Поэтому я бы сказал, что общая картина, которую мы сейчас наблюдаем, похоже возвращает нас к распространению более скрытых атак. И в этом случае то ПО, которое в действительности оказывает наименьшее влияние на выбранное им устройство, в частности, и на самого пользователя, предоставляет злоумышленнику наиболее высокое вознаграждение.

    Дейв Биттнер: [00:16:25] Расскажите теперь, как вы видите дальнейшие развитие линии тренда этого класса вредоносного ПО? Это станет распространённым бизнесом для злоумышленников? Увеличивается ли число заражений, и могут ли пользователи эффективно противодействовать инфицированию своих систем?

    Раян Олсон: [00:16:36] Вы знаете, не так уж и сложно удалять эти майнеры из системы. Поэтому, если вы спрашиваете о том, как они устанавливаются на устройства пользователей, и я действительно не говорил об этом раньше, то следует сказать, что вредоносные программы, которые работают в вашей системе, в действительности устанавливаются с помощью тех же способов, что и программы вымогатели из предыдущих атак, главным образом через полученные вами электронные письма. У этих писем обычно есть вложение. Вложение может быть исполняемым файлом или документом Word, который затем запускает исполняемый файл через макрос. Но это тот же механизм установки, который мы наблюдаем для всех других видов угроз. Таким образом, с точки зрения безопасности действия для предотвращения заражений вымогателями или банковскими троянами будут очень похожими на те, которые следует совершать, чтобы предотвратить проникновение скрытых криптовалютных майнеров в вашу сеть.

    Раян Олсон: [00:17:18] Но мы наблюдаем, что подобные атаки все еще происходят, и мы видим, что злоумышленники становятся все более креативными. То, что мы увидели в начале этого года, было атакой на сервисы облачных вычислений. Некоторые организации имели доступ к облачным системам, и их пользователи могли развернуть виртуальную машину, запустить ее в течение определенного периода времени, просто заплатив за минуту или час процессорного времени. Атакующие получали доступ к их API-ключам, чтобы иметь возможность развернуть эти виртуальные машины просто для запуска на них криптовалютных майнеров, что, как оказалось, может быть действительно очень эффективно и принести действительно много денег с помощью людей, API-ключи которых были украдены. Злоумышленники заполучили некоторые действительно мощные виртуальные машины, которые проработали для них некоторое время и добыли некоторое количество криптовалюты.

    Раян Олсон: [00:17:58] Этот случай был гораздо более специализированной атакой. Это было не из серии простых общих неизбирательных атак, которые мы обычно наблюдали при установке программ-вымогателей, а вскоре и криптовалютных майнеров. Злоумышленники гораздо больше ориентировались на определенную организацию, зная, что у нее есть доступ к развертыванию виртуальных машин, и владея информацией о сервисе облачных вычислений.

    Дейв Биттнер: [00:18:15] Считаете ли вы, что мы увидим какие-то политические шаги с целью решения данной проблемы? Я имею в виду, что известно, что эти деньги воруются в основном в Monero. Как вы думаете, мы можем ожидать, что правительства во всем мире скажут, мы ценим функции конфиденциальности данной монеты, но пора бы запретить ее использование?

    Раян Олсон: [00:18:30] Вы знаете, политика, применяемая к криптовалютам в целом, всегда опиралась на первоначальную реализацию и внедрение Bitcoin. Различные правительства пытались запретить хождение криптовалют. Некоторые из них преуспели в этом или, по крайней мере, немного преуспели. Но в действительности сложно вернуть джинна обратно в бутылку. Поскольку эти системы распределены, их гораздо труднее отключить. Нет единого центра, на который можно надавить и просто сказать, что их деятельность будет прекращена. Правительства также должны предпринять другие санкции, чтобы остановить людей, которые пользуются криптовалютой в своей стране, запретив совершать определенные действия, например, поставить потенциальные транзакции в не закона.

    Раян Олсон: [00:19:06] Так что глупо во всем обвинять одну только монету под названием Monero. Но конечно, мы можем увидеть некоторые попытки изменения политики сообщества Monero, с помощью которых монета станет использоваться чаще простыми пользователями в рамках закона, а не преступниками, которые вообще не собираются уделять внимание закону. Просто благодаря тому, что использование с целью скрытого майнинга будет считаться незаконным, простые пользователи не будут заниматься подобным, зная, что являться незаконным.

    Дэйв Биттнер: [00:19:29] И это действительно хорошая идея. Верное понимание проблемы.

    Раян Олсон: [00:19:32] Еще две вещи, о которых мне стоит упомянуть, чтобы вы смогли предотвратить инфицирование сети вашей организации с целью незаконного криптовалютного майнинга. Как правило, люди узнают о том, что у них установлен майнер на компьютере, после того, как увидят, что их процессор постоянно работает на максимальной нагрузке. В этом случае чаще всего вентиляторы работают на полную мощность, а на самом компьютере наблюдается замедление его работы. И все, кто сталкивался с этим, могут сказать, что компьютер при инфицировании функционирует абсолютно нормально, но всегда стоит проверить, есть ли у вас открытая вкладка, которая находится на веб-странице, которая использует много ресурсов процессора? Если да, то просто закройте свой браузер и посмотрите, снизится ли нагрузка на процессор, и запустите проверку антивирусом, чтобы узнать, заражена ли ваша система. Это второе, что вам, возможно, следует сделать, если у вас очень высокая нагрузка на CPU.

    Раян Олсон: [00:20:12] И еще одно, что могу посоветовать для организаций, если вы не хотите, чтобы люди скрыто добывали криптовалюту в вашей сети, вы должны блокировать в фаерволах адреса пулов. Таким образом, вы заблокируете возможность подключения майнеров к системе пулов. Нужно блокировать доступ к определенным ресурсам, определенным доменам, определенным URL-адресам для этих пулов. Блокирование доступа к ним - отличный способ запретить зараженным хостам функционировать внутри вашей сети, так как это помешает нормальной работе майнеров. В этом случае вы все равно можете быть инфицированными, но ваши процессоры не будут максимально загружены, с целью добычи монет.

    Дэйв Биттнер: [00:20:44] Еще одна вещь, о которой я слышал, это то, что майнерам добавили дополнительный функционал в их код в недавнем времени. И теперь можно настроить майнинг таким образом, чтобы не использовать 100% ресурсов процессора. С помощью этой настройки злоумышленники могут попытаться не привлекать внимание пользователей, так как вентиляторы не будут вращаются на полную мощность. Еще есть опция включения майнинга только при отсутствии активности пользователя на устройстве.

    Раян Олсон: [00:21:00] Да, мы видели подобное в нескольких случаях. Например, мы видели майнеры, которые были настроены на использование гораздо меньшей части ресурсов вашего процессора, около 40 процентов, в результате чего процессор не нагревался до того уровня, когда начинали интенсивнее работать вентиляторы. И нам также попадались майнеры, которые включали процесс добычи монет на системах, только тогда, когда пользователи не проявляли никакой активности. При таких настройках майнер, возможно, будет ждать, пока не начнет работать скринсейвер, когда мышь перестанет двигаться пользователем определенное время. И когда это происходит, запускается процесс майнинга, который также останавливается, когда пользователь возвращается к активному состоянию. Это позволяет майнеру оставаться незаметным для пользователя. Потому что заражение криптовалютным майнером, которое длится год, гораздо более доходно в долгосрочной перспективе, в отличии от того, которое обнаруживается в течении пяти минут, и майнинг быстро останавливается самим пользователем из-за жадности злоумышленника.

    Дэйв Биттнер: [00:21:42] Спасибо Раяну Олсону из подразделения 42 Palo Alto Networks за то, что снова присоединился к нам. Его исследование носит название «Нашествие криптовалютных майнеров». На странице этого подкаста вы сможете найти ссылку на него. А также вы сможете найти его в блоге Unit 42.

    Дейв Биттнер: [00:21:56] Благодарим Hewlett Foundation's Cyber Initiative, спонсора нашего сегодняшнего подкаста. Вы можете узнать больше о них на hewlett.org/cyber.

    Дэйв Биттнер: [00:22:04] А также благодарим нашего спонсора Enveil. Вы можете узнать, как они закрывают последние пробелы в защите данных на их сайте enveil.com.

    Дэйв Биттнер: [00:22:12] Данный выпуск подкаста CyberWire Research Saturday с гордостью записан в Мэриленде на стартап-студии DataTribe, где совместно создается новое поколение команд и технологий по кибербезопасности. Координатором является Дженнифер Эйбен. Редактором является Джон Петрик. Техническим редактором - Крис Рассел. Исполнительным редактором - Питер Килпе. И я, Дэйв Биттнер. Спасибо за внимание.

    Источник: Cryptojacking criminal capers continue — Research Saturday

    Перевод:
    Agent LvM (@LvMi4)
    Редактирование:
    Mr. Pickles (@v1docq47)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.