Kas ir kriptojacking (cryptojacking)?

Q: Vai kriptojacking ir nelegāls?

Jā — nesankcionēta citu skaitļošanas resursu izmantošana kriptovalūtas ieguvei ir nelegāla. Latvijā kvalificējams kā nesankcionēta piekļuve informācijas sistēmai.

Q: Kā kriptojacking atšķiras no ransomware?

Ransomware šifrē datus un pieprasa izpirkumu. Kriptojacking klusi izmanto resursus fonā, cenšoties palikt nepamanīts. Abus var piegādāt ar līdzīgām metodēm.

Q: Vai antivīruss aizsargā no kriptojacking?

Daļēji — antivīruss identificē zināmus minerus, bet uzbrucēji regulāri tos modificē. Visaptverošākai aizsardzībai nepieciešams EDR, tīkla uzraudzība un DNS filtrēšana.

Q: Cik lielu kaitējumu kriptojacking rada uzņēmumam?

Zaudējumi ietver palielinātu elektroenerģijas patēriņu, mākoņrēķinu kāpumu, aparatūras nolietošanos un produktivitātes kritumu. Vidēji incidents izmaksā 5 000–50 000 EUR.

Q: Vai kriptojacking var inficēt mobilās ierīces?

Jā — gan Android, gan iOS ierīces var tikt inficētas. Pazīmes ir paātrināta baterijas izlāde, pārkaršana un augsts datu trafiks.

Kriptojacking (cryptojacking) ir kiberuzbrukuma veids, kurā uzbrucējs nesankcionēti izmanto upura datora, servera vai tīkla resursus kriptovalūtas ieguvei (mining). Atšķirībā no ransomware vai datu zādzības, kriptojacking mērķis nav tieša upura šantāža — tā vietā uzbrucējs klusi parazitē uz upura skaitļošanas jaudas, radot palielinātu elektroenerģijas patēriņu, paātrinātu aparatūras nolietošanos un sistēmu veiktspējas degradāciju.

Kriptojacking ir kļuvis par vienu no izplatītākajiem kiberapdraudējumiem pasaulē, jo tas ir tehniski vienkāršs, grūti atklājams un uzbrucējam rada pastāvīgus ienākumus. CERT.LV ir fiksējis kriptojacking incidentus arī Latvijā — gan privātpersonu datoros, gan uzņēmumu serveros un pat valsts iestāžu infrastruktūrā.

Šajā rakstā aplūkosim, kā kriptojacking darbojas, kā to atpazīt, kādu ietekmi tas atstāj uz uzņēmumu un kā efektīvi aizsargāties no šī slēptā, bet postošā kiberdraudu veida.

Kā darbojas kriptojacking?

Kriptovalūtas ieguve (mining) ir process, kurā datori risina sarežģītus matemātiskus uzdevumus, lai apstiprinātu kriptovalūtas darījumus un saņemtu atlīdzību jaunizveidotās kriptovalūtas vienībās. Šis process prasa ievērojamu skaitļošanas jaudu un elektroenerģiju — tieši tāpēc uzbrucēji izvēlas izmantot citu cilvēku resursus.

Kriptojacking darbojas divējādi — pārlūka bāzēts (browser-based) un sistēmas bāzēts (host-based). Pārlūka bāzētais kriptojacking ievada JavaScript kodu kompromitētā vai ļaunprātīgā tīmekļa vietnē. Kad apmeklētājs atver lapu, viņa pārlūkprogramma sāk kriptovalūtas ieguves aprēķinus fonā. Agrīnāk populārākais rīks bija Coinhive (kas tagad ir pārtraucis darbību), bet jauni līdzīgi servisi turpina parādīties. Šis kriptojacking veids beidzas, kad lietotājs aizver pārlūka cilni — tomēr daži varianti atver slēptus logus, kas turpina darboties fonā.

Sistēmas bāzētais kriptojacking ir nopietnāks drauds — uzbrucējs instalē kriptoieguves programmatūru (miner) tieši upura operētājsistēmā. Tas var notikt caur ļaunprātīgu e-pasta pielikumu, kompromitētu programmatūras lejupielādi, neaizsargātu servisu ievainojamību izmantošanu vai pat caur leģitīmu programmatūras piegādes ķēdes kompromitēšanu. Instalētais miners darbojas kā fona process, bieži maskējoties ar leģitīmu sistēmas procesu nosaukumiem.

Uzbrucēji parasti izvēlas iegūt kriptovalūtas, kas ir optimizētas CPU vai GPU ieguvei (piemēram, Monero/XMR), nevis Bitcoin, kura ieguvei nepieciešama specializēta ASIC aparatūra.

Kriptojacking pazīmes — kā atpazīt infekciju

Kriptojacking bieži tiek dēvēts par 'kluso draudu', jo tas nav paredzēts, lai pievērstu upura uzmanību. Tomēr pastāv vairākas pazīmes, kas var norādīt uz nesankcionētu kriptoieguvi organizācijā.

Neparasti augsts CPU vai GPU noslodze ir galvenais indikators. Ja servera vai darbstacijas procesors pastāvīgi strādā ar 80–100% noslodzi bez acīmredzama iemesla, tas var liecināt par kriptojacking. Uzdevumu pārvaldniekā (Task Manager) var būt redzami aizdomīgi procesi ar augstu CPU patēriņu. Serveriem šo anomāliju var identificēt caur uzraudzības sistēmām (Zabbix, Nagios, Prometheus).

Palēnināta sistēmu darbība ir tieša CPU pārmērīgas noslodzes sekas — lietojumprogrammas reaģē lēni, failu operācijas aizņem ilgāku laiku, video konferences stostās. Darbinieki var sūdzēties par datoru 'lēnumu', kas IT nodaļai būtu jāuztver kā potenciāls drošības signāls, nevis tikai veiktspējas problēma.

Palielināts elektroenerģijas patēriņš ir nozīmīga pazīme serveru telpās un datu centros. Ja elektroenerģijas rēķini pieaug bez atbilstošas infrastruktūras paplašināšanas, tas var norādīt uz kriptoieguvi. Paaugstināta aparatūras temperatūra un palielināts ventilatoru troksnis arī ir raksturīgas pazīmes.

Neparasts tīkla trafiks — savienojumi ar kriptoieguves puliem (mining pools) vai Tor tīklu — ir tehnisks indikators, ko var identificēt tīkla uzraudzības sistēmas. Šie savienojumi parasti notiek uz specifiskiem portiem un IP adresēm, ko draudu izlūkošanas datubāzes var identificēt.

Kriptojacking ietekme uz uzņēmumiem

Lai gan kriptojacking nešifrē datus un neprasa izpirkumu, tā ietekme uz uzņēmumiem ir nozīmīga un daudzšķautņaina. Tiešie finansiālie zaudējumi rodas no palielināta elektroenerģijas patēriņa — kriptoieguve var palielināt enerģijas izmaksas par 30–60% atkarībā no inficēto sistēmu skaita. Mākoņinfrastruktūrā (AWS, Azure, GCP) sekas ir vēl izteiktākas — kriptoieguve dramatiski palielina skaitļošanas resursu patēriņu, radot negaidītus un potenciāli milzīgus mākoņpakalpojumu rēķinus.

Aparatūras paātrināta nolietošanās ir nozīmīgs slēptais zaudējums. Procesori, grafikas kartes un citi komponenti, kas pastāvīgi strādā ar maksimālo noslodzi, nolietojas ievērojami ātrāk. Serveru ventilatori, dzesēšanas sistēmas un barošanas bloki tiek noslogoti ārpus normas robežām, palielinot avāriju risku un saīsinot aparatūras kalpošanas laiku.

Veiktspējas degradācija ietekmē biznesa procesus — ja serveri ir noslogoti ar kriptoieguvi, leģitīmie pakalpojumi darbojas lēnāk. E-komercijas vietnēm tas nozīmē lēnāku lapu ielādi (kas tieši ietekmē konversiju un SEO), iekšējām sistēmām — darbinieku produktivitātes kritumu.

Drošības kontekstā kriptojacking norāda uz nopietnāku problēmu — ja uzbrucējs ir spējis instalēt kriptoieguves programmatūru, viņam, visticamāk, ir piekļuve arī citām sistēmas funkcijām. Kriptoieguves infekcija bieži ir tikai pirmais solis — uzbrucējs var jebkurā brīdī pārslēgties uz destruktīvāku darbību, piemēram, ransomware vai datu eksfiltrāciju.

Pārlūka bāzēts vs servera bāzēts kriptojacking

Pārlūka bāzēts kriptojacking darbojas caur JavaScript kodu, kas tiek izpildīts apmeklētāja pārlūkprogrammā. Uzbrucējs injicē skriptu leģitīmā vietnē (piemēram, kompromitējot WordPress spraudni vai reklāmas tīklu) vai izveido speciālu ļaunprātīgu vietni. Šis variants ietekmē galvenokārt darbstacijas un ir aktīvs tikai kamēr vietne ir atvērta pārlūkā.

Pārlūka kriptojacking priekšrocības uzbrucējam — plaša upuru bāze, nav nepieciešams instalēt programmatūru, grūtāk izsekot. Trūkumi — ierobežota skaitļošanas jauda (tikai pārlūka procesa resursi), beidzas ar cilnes aizvēršanu, mūsdienu pārlūki un reklāmu bloķētāji arvien labāk to identificē.

Servera bāzēts kriptojacking ir ievērojami nopietnāks drauds. Uzbrucējs iegūst piekļuvi serverim — parasti caur neaizsargātu SSH, neielāpītu ievainojamību (piemēram, Log4Shell, Spring4Shell) vai kompromitētiem piekļuves datiem — un instalē kriptoieguves programmatūru. Serveri piedāvā daudz lielāku skaitļošanas jaudu nekā darbstacijas, un infekcija var darboties mēnešiem bez atklāšanas.

Konteinerizēta vide (Docker, Kubernetes) ir kļuvusi par populāru kriptojacking mērķi. Uzbrucēji meklē neaizsargātus Docker API endpointus, kompromitē konteineru attēlus (images) vai izmanto nepietiekamu Kubernetes drošības konfigurāciju, lai izvietotu kriptoieguves konteinerus. Mākoņvidē šie konteineri var automātiski paplašināties, radot eksponenciālus resursu un izmaksu pieaugumus.

IoT ierīces — maršrutētāji, kameras, viedie termostati — arī tiek izmantotas kriptoieguvei. Lai gan katra ierīce individuāli ir vāja, botnet no tūkstošiem IoT ierīču var ģenerēt nozīmīgu skaitļošanas jaudu.

Aizsardzība pret kriptojacking

Efektīva aizsardzība pret kriptojacking prasa daudzlīmeņu pieeju, kas aptver gan gala ierīces, gan tīklu, gan mākoņinfrastruktūru. Endpoint aizsardzība ar EDR risinājumiem spēj identificēt kriptoieguves procesus pēc to uzvedības — augsts CPU patēriņš kombinācijā ar specifiskiem tīkla savienojumiem ir skaidrs indikators.

Tīkla līmeņa aizsardzība ietver DNS filtrēšanu (bloķē piekļuvi zināmiem kriptoieguves puliem un domēniem), IDS/IPS sistēmas ar kriptoieguves parakstiem un tīkla trafika uzraudzību anomālu savienojumu modeļu identificēšanai. Ugunsmūra politikas var bloķēt savienojumus uz kriptoieguves pūlu tipiskajiem portiem.

Pārlūka līmeņa aizsardzība ietver reklāmu bloķētāju un skriptu bloķētāju izmantošanu (uBlock Origin, NoScript), pārlūka paplašinājumus, kas specifiski bloķē kriptoieguves skriptus, un grupas politikas (GPO), kas ierobežo pārlūka paplašinājumu instalēšanu un JavaScript izpildi.

Serveru aizsardzībai jānodrošina regulāra ielāpu vadība (patch management), SSH atslēgu autentifikācija (nevis paroles), konteineru drošības skenēšana un minimālo privilēģiju princips. Docker API nekad nedrīkst būt pieejams no publiskā interneta bez autentifikācijas.

Mākoņinfrastruktūrā jākonfigurē resursu patēriņa brīdinājumi — ja EC2 instance vai Kubernetes pods pēkšņi sāk patērēt neparasti daudz CPU, automātisks brīdinājums ļauj ātri reaģēt. Mākoņpakalpojumu budžeta brīdinājumi (billing alerts) var būt pirmais signāls par kriptoieguvi mākoņvidē.

Kā securIT SOC atklāj kriptojacking

securIT SOC komanda izmanto vairāku līmeņu pieeju kriptojacking atklāšanai un novēršanai klientu infrastruktūrā. CPU anomāliju monitorings ir viens no galvenajiem detektēšanas mehānismiem — SIEM sistēma korelē datus no gala ierīču un serveru uzraudzības, identificējot sistēmas, kurās CPU noslodze ilgstoši pārsniedz bāzes līnijas vērtības bez leģitīma biznesa pamatojuma.

Tīkla trafika analīze identificē savienojumus ar zināmiem kriptoieguves puliem. securIT uztur aktuālu draudu izlūkošanas datubāzi, kas ietver kriptoieguves pūlu IP adreses, domēnus un tīkla parakstus. Jebkurš savienojuma mēģinājums uz šīm adresēm ģenerē tūlītēju brīdinājumu.

Procesu analīze gala ierīcēs identificē zināmus kriptoieguves rīkus (XMRig, PhoenixMiner, T-Rex un citus) pēc procesu nosaukumiem, komandrindas parametriem un failu hash vērtībām. EDR risinājumi spēj identificēt arī pārsauktus vai modificētus mainerus pēc to uzvedības profila.

Konteineru vides uzraudzība ir īpaši svarīga mākoņklientiem — securIT uzrauga Docker un Kubernetes vidi, identificējot neatļautus konteinerus, aizdomīgus attēlus un anomālu resursu patēriņu.

Incidenta atklāšanas gadījumā SOC komanda nekavējoties reaģē — izolē inficēto sistēmu, pārtrauc kriptoieguves procesu, veic forenzisko analīzi, lai noteiktu ieejas punktu, un sniedz rekomendācijas ievainojamību novēršanai. securIT SOC spēj atklāt kriptojacking minūšu laikā, kas ļauj novērst ilgstošu resursu izšķērdēšanu un identificēt plašāku kompromitēšanu, ja tāda pastāv.

Regulāri drošības pārskati klientiem ietver kriptojacking risku novērtējumu un rekomendācijas infrastruktūras nostiprināšanai.

Biežāk uzdotie jautājumi

Vai kriptojacking ir nelegāls?

Jā — nesankcionēta citu cilvēku vai organizāciju skaitļošanas resursu izmantošana kriptovalūtas ieguvei ir nelegāla. Latvijā tas kvalificējams kā nesankcionēta piekļuve informācijas sistēmai (Krimināllikuma 241. pants) un var ietvert arī krāpšanas elementus. Eiropas Savienībā kriptojacking ir atzīts par kibernoziegumu saskaņā ar Direktīvu par uzbrukumiem informācijas sistēmām. Svarīgi atšķirt — ja vietne atklāti informē apmeklētāju par kriptoieguvi un saņem piekrišanu, tas vairs nav kriptojacking.

Kā kriptojacking atšķiras no ransomware?

Galvenā atšķirība ir mērķī un metodē. Ransomware šifrē upura datus un atklāti pieprasa izpirkumu — tas ir tūlītējs, redzams uzbrukums. Kriptojacking ir kluss un ilgstošs — uzbrucējs izmanto upura resursus fonā, cenšoties palikt nepamanīts pēc iespējas ilgāk. Ransomware iznīcina vai bloķē datus, kriptojacking patērē skaitļošanas resursus. Tomēr abus var piegādāt ar vienu un to pašu metodi, un kriptojacking infekcija var pārvērsties par ransomware uzbrukumu.

Vai antivīruss aizsargā no kriptojacking?

Daļēji — mūsdienu antivīrusi spēj identificēt zināmus kriptoieguves rīkus pēc parakstiem. Tomēr uzbrucēji regulāri modificē savus minerus, lai apietu parakstu balstītu atklāšanu. Pārlūka bāzēto kriptojacking antivīruss var nekonstatēt, jo JavaScript kods izpildās pārlūkā. Visaptverošākai aizsardzībai nepieciešams EDR risinājums ar uzvedības analīzi, tīkla uzraudzība un DNS filtrēšana. securIT SOC nodrošina šo daudzlīmeņu pieeju.

Cik lielu kaitējumu kriptojacking rada uzņēmumam?

Tiešie zaudējumi ietver palielinātu elektroenerģijas patēriņu (30–60% pieaugums inficētajām sistēmām), mākoņpakalpojumu rēķinu kāpumu (var sasniegt tūkstošus eiro mēnesī), paātrinātu aparatūras nolietošanos un darbinieku produktivitātes kritumu. Netiešie zaudējumi ietver IT komandas laiku incidentu izmeklēšanai un infrastruktūras atjaunošanai. Vidēji kriptojacking incidents uzņēmumam var izmaksāt 5 000–50 000 EUR atkarībā no mēroga un ilguma.

Vai kriptojacking var inficēt mobilās ierīces?

Jā — gan Android, gan iOS ierīces var tikt inficētas ar kriptojacking. Android ierīcēs uzbrucēji izplata ļaunprātīgas lietotnes caur trešo pušu lietotņu veikaliem vai pat Google Play. iOS ierīcēs biežāk notiek pārlūka bāzēts kriptojacking. Mobilajās ierīcēs kriptojacking izraisa paātrinātu baterijas izlādi, ierīces pārkaršanu un neparasti augstu datu trafiku. Uzņēmumu kontekstā mobilā ierīču pārvaldība (MDM) un drošības politikas palīdz ierobežot šo risku.

Neļaujiet uzbrucējiem izmantot jūsu infrastruktūru kriptovalūtas ieguvei — securIT SOC atklāj CPU anomālijas un kriptojacking 24/7. Sazinieties — [email protected] vai +371 27555221, vai apmeklējiet securit.lv/#contact.