secretmag.ru
Опубликовано 26 июня 2017, 15:37

Как хакеры майнят биткоины, взламывая корпоративные сети

— разоблачает Эльмар Набигаев

У блокчейна так много фанатов, потому что он обещает абсолютную прозрачность трансакций, но пока пиринговые платёжные системы парадоксальным образом упрощают жизнь в основном мошенникам.

Как хакеры майнят биткоины, взламывая корпоративные сети

У блокчейна так много фанатов, потому что он обещает абсолютную прозрачность трансакций, но пока пиринговые платёжные системы парадоксальным образом упрощают жизнь в основном мошенникам.

Отследить получателя биткоинов или его аналогов невозможно, и это развязывает руки злоумышленникам, открывающим сервисы из разряда «хакинг как услуга», воспользоваться которыми может любой желающий.

За криптовалюту продают доступ к промышленным системам и веб-камерам ноутбуков, данные банковских карт и украденные до премьеры фильмы. Добропорядочным пользователям пиринговых платёжных систем стоит также опасаться троянов, которые воруют кошельки вместе с биткоинами и другой криптовалютой. Биткоины принимали и операторы вируса-вымогателя WannaCry.

Активность хакеров толкает курсы виртуальных валют вверх, и кто-то на этой волне вкладывается в создание майнинговых ферм, а кто-то — взламывает отдельные компьютеры или целые сети, превращая в майнеров ничего не подозревающих пользователей.

Как дорожают криптовалюты

В течение года биткоин подорожал до рекордных значений — с $450 до более $2700 за один BTC. Но наиболее динамичный рост показывает другая криптовалюта — монеро. Её курс вырос за один год с $0,50 до $47 за одну единицу — XMR. Это позволило монеро войти в топ-10 криптовалют по рейтингу Сoinmarketcap, а в августе одна из крупнейших торговых площадок в теневом интернете Alphabay начала принимать монеро как альтернативу биткоину.

Создатели монеро сделали акцент на расширенных механизмах обеспечения анонимности. Реализованный в монеро алгоритм кольцевой подписи CryptoNote позволяет лучше прятать свои транзакции, причём каждое последующее движение денег экспоненциально усложняет задачу нахождения плательщика. Пиринговая система также использует технику ring confidential transactions, скрывающую объём каждого платежа, и другие криптографические приёмы, которые делают трассировку сделки маловероятной.

Жадный вирус Adylkuzz

В тени победного марша вируса-вымогателя WannaCry остались более хитрые злоумышленники, которые ещё до появления шифровальщика стали тихо монетизировать ту же дыру в защите Windows. Они ничего не требуют от владельцев захваченных систем и даже не крадут деньги, хотя активно проникают в финансовые организации. Речь о майнере Adylkuzz, заразившем десятки тысяч рабочих станций и серверов в тысячах компаний из госсектора, банков, ТЭК, транспортной сферы и других отраслей. Его задача — заставить ваш компьютер добывать криптовалюту.

Успешные попытки заставить корпоративные системы генерировать биткоины или лайткоины случались и ранее, но атаку такого масштабы мы увидели впервые. Выявленное вредоносное ПО использует ту же уязвимость в Microsoft SMB, что и вирус-вымогатель WannaCry. Соответственно, внутри этого майнера находятся инструменты со знакомым названием, Eternalblue и Doublepulsar, похищенные хакерами из The Shadow Brokers у организации Equation Group, которую связывают с американским АНБ. В апреле эксперты уже предупреждали, что эти эксплойты без работы не останутся. Так и получилось.

Это, конечно, не шифровальщик, но нарушение функционирования сервисов, зачастую критически важных, всё-таки происходит. На заражённых машинах мы часто наблюдаем синий экран и общую нестабильность Сети. Adylkuzz сильно загружает вычислительные мощности во время майнинга. Кроме того, каждая заражённая машина сканирует и пытается взломать соседние ПК и интернет-узлы, генерируя большие объёмы траффика, что приводит к перегрузке сетевых ресурсов.

Наши специалисты зафиксировали первую активность зловреда в России в первых числах мая. Таким образом, распространение Adylkuzz началось даже раньше, нежели стартовала вредоносная кампания WannaCry. В отличие от вируса-вымогателя, блокирующего доступ к файлам, заражение майнером идентифицировать сложнее: чаще всего единственные признаки — это более медленная работа ПК. После заражения системы Adylkuzz с помощью штатного межсетевого экрана Windows закрывает брешь в SMB, чтобы другие зловреды не воспользовались уязвимостью. Возможно, это был один из факторов, который помог сдержать распространение WannaCry.

Майнер Adylkuzz ориентирован на добычу криптовалюты монеро. В распоряжении наших экспертов оказались несколько ключей монеро, связанных с этой атакой: один из таких кошельков заработал более $8000. На сайте monero.crypto-pool.fr производительность ресурсов, работающих на один из таких кошельков, составляет более 863 kH/sec (килохешей в секунду), что позволяет хакерам зарабатывать $2000 в сутки. И это только часть ботнета.

Достоверно известно о нескольких кошельках, связанных с хакерами, а общая сумма в них составила эквивалент более $30 000. Для сравнения, производительность процессора среднего уровня Intel Core i5-7400 примерно 0,165 kH/sec.

$600 000 на NAS-устройствах

Недавний взлёт цен на видеокарты из-за роста стоимости криптовалют ещё больше усиливает желание злоумышленников оседлать чужие ресурсы. Собственные фермы для майнинга обходятся всё дороже, и взламывать начинают с утроенной активностью.

Рекорд 2014 года, когда после предыдущего взлёта биткоина неизвестные обогатились на $600 000 с помощью NAS-устройств, ещё не побит, но, думаю, уже скоро мы увидим семизначные суммы, если генерировать цифровые монеты начнут миллионы роутеров, термостатов, видеокамер и других IoT-устройств, функционирующих на устаревших версиях Linux.

Первые попытки уже были зафиксированы этой весной, причём для майнинга приспособили программу Mirai, известную по самым крупным в истории DDoS-атакам. Также в мае началось распространение зловредного ПО Linux.MulDrop.14, которое атакует исключительно устройства Raspberry Pi. Владельцы маломощных «малин» вряд ли ожидали, что заинтересуют криптодобытчиков, но теперь им пора обновить свои устройства — патч, отключающий эксплуатируемый трояном протокол SSH (Secure Shell), вышел ещё осенью.

Как защищаться

Меры противодействия хакерам-майнерам очевидны. Для защиты компьютерных и сетевых ресурсов достаточно соблюдать базовые правила кибергигиены: вовремя устанавливать обновления, использовать сложные пароли и проверять корректность конфигурации оборудования.

Что касается противодействия конкретно Adylkuzz, то при атаке этого вредоносного ПО уязвимы компьютеры под управлением большинства современных операционных систем Windows, от Windows XP/2003 до Windows 10. Если вы по какой-то случайности ещё не установили обновление MS17-010, рекомендую сделать это прямо сейчас.

Фотография на обложке: Yourg / Shutterstock