Kybernetická bezpečnosť bola v roku 2018 v znamení kryptomien. Ako hakeri reagujú na ich klesajúcu hodnotu?
Jednou z najčastejšie skloňovaných technológií roku 2018 sa nepochybne stali kryptomeny. Záujem o ne výrazne stúpol už na konci roka 2017, keď ich hodnoty dosahovali vrchol. To samozrejme neuniklo kybernetickým zločincom, ktorí na ne obrátili svoju pozornosť. Počas roka 2018 sa pre nich ťažba kryptomien zo zariadení napadnutých používateľov stala kľúčovým zdrojom príjmov a nahradzovala iné typy útokov, napríklad pomocou vydieračského softvéru. Hodnota kryptomien však počas vlaňajška postupne klesala. Objavila sa teda otázka, či opadne aj záujem útočníkov. Bezpečnostný tím Cisco Talos zistil, že i napriek poklesu hodnoty patrí ťažba kryptomien na cudzích zariadeniach k najvýnosnejším aktivitám hakerov. Menia sa však ich techniky.
Počas roka 2018 vydal bezpečnostný tím Cisco Talos niekoľko varovaní pred škodlivými softvérmi, ktoré využívajú výkon zariadení používateľov na ťažbu kryptomien. Na jeho začiatku Cisco Talos vypočítal, že pri ťažbe kryptomeny Monero dokáže útočník z jedného počítača získať denne asi 22 centov. Na konci roka už ale z rovnakého počítača mohol získať maximálne tri centy. Napriek tomu záujem útočníkov o kryptomeny neupadol.
„Motivácia útočníkov je jednoduchá. Ťažba kryptomien im umožňuje vytvoriť model, generujúci trvalý zisk. Skrytý útok pritom neupúta prílišnú pozornosť, keďže beží na pozadí fungujúceho, hoci spomaleného zariadenia. Pri vydieračskom softvéri bola návratnosť vždy tak trochu stávkou v lotérii a navyše mohlo dôjsť k odhaleniu útočníka. Pri ťažbe kryptomien môže útočník svojou aktivitou používateľom zväčša maximálne výrazne spomaľovať počítač. V prípade veľkej firmy však už môže ísť o celkom veľké straty, spôsobené nielen pomalšími zariadeniami, ale zároveň i vyššími účtami za elektrinu. Vo firmách sa vyskytujú aj prípady napadnutia nechránenej infraštruktúry v cloude, čo spôsobuje straty v podobe navýšených platieb za cloudové zdroje. Taká strata z jedného útoku môže dosiahnuť rádovo až tisícky eur,“ vysvetľuje Petr Černohorský, bezpečnostný expert spoločnosti Cisco.
Rozmach ťažby kryptomien prenikol takmer do všetkých techník, ktoré útočníci využívajú, či už ide o kampane zamerané na rozposielanie spamu, útoky cez webové prehliadače alebo cielené preniknutie do počítačov či siete.
Spamové kampane a experimenty s ťažbou
Charakter spamových kampaní spravidla dobre vypovedá o tom, na aké aktivity sa kyberzločinci zameriavajú. Ich zisky generujú siete počítačov, ktoré rozposielajú nevyžiadanú poštu do celého sveta (tzv. botnety). Počas roka 2018 bol ale objem spamu podpriemerný (okrem dvoch kampaní na jeho začiatku). Objavili sa špekulácie, že najväčší botnet Necurs experimentuje s kampaňami, zameranými práve na ťažbu kryptomien a to tak, že na niektorých napadnutých strojoch, ktoré by inak rozposielali spam, prebiehala práve ťažba kryptomien. Vo všeobecnosti sa kampane zamerané na ťažbu kryptomien na začiatku roka 2018 objavovali veľmi často, so znižovaním hodnoty kryptomien sa ale útočníci čiastočne preorientovali na iné oblasti zisku. Aktuálne sa spamom doručujú škodlivé softvéry typu RAT (Remote Access Trojan), útoky umožňujúce vzdialenú kontrolu napadnutého zariadenia, či Emotet a ďalšie formy tzv. modulárneho malvéru, ktorý sa v systéme spúšťa postupne.
Spustíte web, ťažíte do cudzej peňaženky
Hoci každý bežný používateľ vie, že by nemal klikať na podozrivé odkazy, práve útoky cez internetový prehliadač patria medzi najčastejšie. V minulých rokoch týmto spôsobom mnoho používateľov infikovalo svoje zariadenia vydieračským softvérom (ransomvérom), v roku 2018 sa tak často šíril softvér, ktorým útočníci ťažia kryptomeny. Maskovanie je rôzne, používateľa môžu nalákať na falošnú reklamu či podvodnú žiadosť o aktualizáciu programu Adobe Flash Player. Mnoho typov softvéru ťažiaceho kryptomeny (napríklad CoinHive) používa aj skripty, ktoré bežia na pozadí otvorenej stránky. A tak kým si používateľ prezerá webovú stránku, na pozadí ťaží niekto iný kryptomeny. Tento spôsob zárobku sa tak rozšíril, že niektorí vývojári aplikácií dokonca sami žiadali používateľov, aby povolili ich aplikáciám ťažiť kryptomeny a tým za vývoj zaplatili inak ako peniazmi. „A hoci hodnota kryptomien klesá, útočníci sa pochopiteľne riadia heslom: nejaké peniaze sú lepšie ako žiadne. Ak sa im naskytne príležitosť akokoľvek si zarobiť, určite ju využijú a ťažba kryptomien cez webový prehliadač bude stále súčasťou každodenného internetového života,“ popisuje Petr Černohorský.
Cielené útoky aj na servery firiem
Pri ťažbe kryptomien platí jedno dôležité pravidlo: výnosy z jedného zariadenia sú priamo úmerné jeho výkonu. Bezpečnostný tím Cisco Talos monitoroval niekoľko prípadov, kedy sa cielené útoky využívali na ťažbu a zneužívali známe zraniteľnosti. A nejde len o bežné počítače, zaujímavým cieľom sú pre útočníkov napríklad firemné servery, pretože zvyšujú potenciálne zisky. V niektorých prípadoch útočníci pridávajú do škodlivého softvéru funkcie, ktorými sa vyznačuje typ „červ“. To znamená, že sa škodlivý softvér vie sám rozširovať aj do ďalších zariadení bez nutnosti cudzieho zásahu.
Rok 2019? Cieľom hakerov je väčšia flexibilita
Z analýzy bezpečnostného tímu Cisco Talos vyplýva, že pád hodnoty kryptomien aktivitu hakerov výrazne nezmenil a v roku 2019 bude ťažba stále jednou z oblastí ich záujmu. To však neznamená, že by pokles nemal vôbec žiadny vplyv. Možno pozorovať zmeny zamerania spamových kampaní a zvyšujúcu sa distribúciu modulárnych útokov. Nedá sa však očakávať, že by kyberútočníci na ťažbu kryptomien úplne zanevreli, pretože im ponúka jednoduchý spôsob ako skryto a dlhodobo profitovať. Otázkou zostáva, kam sa môžu útoky ďalej vyvíjať. „Útočníci budú chcieť byť flexibilní. Pravdepodobne sa dočkáme útokov, ktorých podoba sa bude odvíjať omnoho viac od typu napadnutého zariadenia. Kým dobre vybavené herné zariadenie či špičkový server môžu byť výhodným cieľom pre ťažbu kryptomien, manažérsky laptop môže byť výhodnejší pre prepredaj prístupu pre ďalšiu fázu cieleného útoku alebo na šírenie vydieračského softvéru,“ uzatvára Petr Černohorský.
