Istnieje kategoria cyberprzestępców, którzy wykorzystują złośliwe oprogramowanie i ukryte techniki w celu tworzenia cyfrowych pieniędzy. Zazwyczaj chodzi o popularne „kopanie bitcoinów”, które odbywa się za pomocą programów zwanych „Crypto Miners”. Udany atak skutkuje sekretnym wykorzystywaniem mocy obliczeniowej komputera (procesora lub karty graficznej) do wydobywania kryptowalut. Prowadzi to do naruszeń bezpieczeństwa w organizacjach oraz znacząco wpływa na dostępne na urządzeniu zasoby. Co więcej, poprzez taką infekcję często dochodzi do wykrycia dodatkowych luk w zabezpieczeniach i dalszych exploitów.
W niedalekiej przeszłości, zarażenie komputera oprogramowaniem do kopania kryptowalut polegało na nieświadomej instalacji programów, które potajemnie w tle wykorzystywały zasoby CPU. Teraz powstał nowy trend. Złośliwy kod wstrzykiwany jest jako JavaScript na stronę internetową. Ponieważ JavaScript działa i jest wykorzystywany na prawie każdej witrynie, to instrukcje odpowiedzialne za wydobywanie kryptowalut nie muszą być dodatkowo instalowane. W rezultacie nie ma prostego sposobu na ustalenie czy strona internetowa ma dołączony ukryty złośliwy pakiet czy nie.
Skąd ta nazwa?
Nazwa wzięła się od pierwszego zorganizowanego ataku na publiczne sieci Wi-FI w kawiarniach Starbucks. Użytkownicy podłączeni do hot-spotów nie byli świadomi, że ich urządzenia wykorzystywane są do kopania kryptowalut. Oznacza to, że pijąc łyk kawy w ulubionej kawiarni i korzystając z darmowego Wi-Fi nie jesteśmy bezpieczni. Atak działa podobnie jak Man-in-the-Middle. Cyberprzestępca zasadza się pomiędzy komputerem ofiary, a serwerem docelowym przez co nieświadomy użytkownik nie wie, że komunikacja przechodzi przez host atakującego. Hackerzy manipulują tym hostem w taki sposób, że pozwala im to na wydobywanie kryptowalut z maszyn nieświadomych użytkowników. Jedyne efekty jakie zaobserwuje user to spowolnienie systemu oraz powolne wczytywanie się indywidualnych stron internetowych.
Jak działa atak?
Atak rozpoczyna się poprzez wysłanie przez hakerów fałszywych wiadomości za pomocą protokołu ARP (Address Resolution Protocol). Protokół ten służy przede wszystkim do mapowania adresów IP urządzeń podłączonych do sieci. Atakujący wykorzystują do tego bibliotekę dnsniff, w której skład wchodzi wiele narzędzi używanych do audytowania sieci. Następnie oprogramowanie CoffeeMiner wstrzykuje złośliwy JavaScript na strony internetowe, które aktualnie odwiedzane są przez użytkowników podłączonych do Wi-Fi. Dzięki dostępnym online API, takim jak CoinHive czy Crypto-loot atakujący może wymuszać na lokalnych maszynach użytkowników zdalne kopanie kryptowalut na rzecz swojego serwera.
Podsumowanie
Wraz ze wzrostem i rozwojem cyberprzestępczości Crypto Mining przekształcił się w nowy rodzaj zagrożeń umożliwiający hackerom zdobywanie pieniędzy w niewidoczny i bezpośredni sposób. W rezultacie trudno jest przeciwdziałać i walczyć z tego rodzaju zagrożeniami. Jednym ze sposobów jest instalacja przez użytkownika końcowego rozszerzenia do przeglądarki internetowej, które blokuje API do wydobywania kryptowalut. Przykładem takiego dodatku jest stworzone przez Rafaela Keramidasa rozszerzenie No Coin do przeglądarki Google Chrome. Warto również zwracać uwagę na sieci Wi-Fi do których się przyłączamy. Otwarte hot-spoty bez żadnych zabezpieczeń, nie są dobrym miejscem do pracy. Hackerzy zawsze z przyjemnością korzystają z naiwności użytkowników.