هر آنچه باید در مورد کریپتوجکینگ بدانید

با افزایش محبوبیت کسب درآمد از طریق استخراج رمزارزها و خریدوفروش آن‌ها (به‌خصوص رمزارزهای ارزشمندی مثل بیت کوین و اتریوم) در چند سال اخیر، شکل جدیدی از حمله سایبری تحت عنوان حمله کریپتوجکینگ (Cryptojacking) برای استخراج غیرقانونی رمزارز شکل گرفته است.

در این مطلب قصد داریم ببینیم کریپتوجکینگ چیست، چگونه انجام می‌شود، روش‌های آن چیست، چرا گسترش یافته است، چگونه می‌توان آن را تشخیص داد، چگونه می‌توان از آن پیشگیری کرد و روش‌های مقابله با این حمله سایبری در صورت آلوده‌ شدن سیستم به بدافزارهای مورداستفاده برای انجام آن چیست؟

کریپتوجکینگ چیست؟

واژه Cryptojacking در زبان انگلیسی به معنی سرقت رمزارز است. کریپتوجکینگ در حقیقت استفاده غیرمجاز از سخت‌افزار منابع ارائه‌دهنده قدرت محاسباتی مثل کامپیوترهای قدرتمند مجهز به کارت‌های گرافیک و سی‌پی‌یوهای رده‌بالا و قدرتمند یا سرویس‌های ابری، برای استخراج غیرقانونی کریپتوکارنسی بدون صرف هیچ‌گونه هزینه‌ای است.

در روش‌ها و انواع مختلف کریپتوجکینگ، کد یا بدافزارایجادشده برای استخراج رمزارز، بدون جلب‌توجه در پس‌زمینه سیستم عمل می‌کند. افرادی که سیستم آن‌ها قربانی این سرقت سایبری شده است، اصلاً مستقیماً متوجه وجود چنین کدها و بدافزارهایی نمی‌شوند و حتی ممکن است تا ماه‌ها متوجه نشوند که یکی از قربانیان کریپتوجکینگ هستند.

تنها نشانه‌های آشکار دستگاه‌های قربانی کریپتوجکینگ، کند شدن عملکرد آن‌ها و تأخیر آن‌ها در انجام فعالیت‌های پردازشی مختلف، افزایش بیش‌ازحد دمای آن‌ها در حین فعالیت و افزایش بیش‌ازحد مصرف برق آن‌ها است. درصورتی‌که در هنگام استفاده از سرویس‌های ابری قربانی این حمله شوید، ممکن است افزایش بسیار زیاد هزینه استفاده از خدمات فضای ابری مثل رایانش ابری، شما را شکه کند!

اگرچه کریپتوجکینگ به‌اندازه سایر انواع متداول حملات سایبری مثل باج‌فزارها و حملات سایبری طراحی‌شده برای انجام فعالیت‌های مخرب جدی خطرناک نیست؛ اما درعین‌حال نباید دست‌کم گرفته شود و از آن‌ها غفلت کرد. کریپتوجکینگ می‌تواند باعث زیان مستقیم و غیرمستقیم به سازمان‌ها و افرادی شود که دارای کامپیوترها و دستگاه‌های کامپیوتری قدرتمند هستند یا از سرویس‌های قدرتمند رایانش ابری استفاده می‌کنند.

کریپتوجکینگ چگونه انجام می‌شود؟

کریپتوجکینگ با روش‌های مختلفی انجام می‌شود که در این بخش با آن‌ها آشنا خواهیم شد؛ اما اجازه دهید قبل از آشنایی با روش‌های مختلف کریپتوجکینگ، به‌صورت مختصر و ساده با نحوه استخراج رمزارزها آشنا شویم تا بهتر بفهمیم کریپتوجکینگ با چه هدفی انجام می‌شود.

اگر بخواهیم فرایند استخراج رمزارز را کاملاً ساده و خلاصه شرح دهیم، باید بگوییم افرادی موفق به استخراج رمزارز می‌شوند که بتوانند با بهره‌مندی از قدرت محاسباتی دستگاه‌های مورداستفاده برای استخراج رمزارز یا به‌اصطلاح ماینرهای خود تعداد بسیار زیادی از محاسبات پیچیده لازم برای دستیابی به رمزارزها را با سرعت بالا انجام دهند و پاداشی تحت عنوان پاداش بلاک را زودتر از سایر ماینرها از آن خود کنند.

به دلیل اینکه تعداد اکثر ارزهای دیجیتالی قابل‌استخراج محدود است و پس از استخراج تمام سکه‌های دیجیتالی (کوین‌ها) قابل‌استخراج یک کریپتوکارنسی، استخراج کوین‌های جدید دیگر امکان‌پذیر نخواهد بود، هرچقدر تعداد ارزهای دیجیتالی استخراج‌شده بیشتر شود، فرایند استخراج ارزهای باقی‌مانده و رقابت افراد برای کسب پاداش بلاک توسط ماینرها دشوارتر می‌شود.

استخراج‌کنندگان رمزارز برای پیروزی در این سطح از این رقابت، باید سخت‌افزارها یا منابع ابری دارای قدرت محاسباتی بالا در اختیار داشته باشند تا بتوانند با افزایش توانایی محاسباتی سیستم‌های در اختیار خود حجم بیشتری از محاسبات را در مدت‌زمانی سریع‌تر انجام دهند و بتوانند زودتر از سایر افراد سکه‌های باقی‌مانده را استخراج کنند؛ به‌عنوان‌مثال تعداد کوین‌های قابل‌استخراج بیت کوین، ۲۱ میلیون کوین است و پس از استخراج تمام آن‌ها، استخراج سکه‌های بیشتر دیگر امکان‌پذیر نخواهد بود.

دستیابی به قدرت محاسباتی بیشتر مستلزم استفاده از کامپیوترهای یا دستگاه‌های کامپیوتری قوی یا بهره‌مندی از خدمات سرویس‌های رایانش ابری در سطح گسترده است؛ طبیعتاً ایجاد یک کامپیوتر یا سیستم کامپیوتری قوی یا استفاده از میزان بالایی از قدرت محاسباتی ابری هزینه زیادی را به افراد تحمیل می‌کند. در ضمن مصرف برق کامپیوترها دستگاه‌های کامپیوتری قوی با قدرت محاسباتی بالا نیز بسیار بالا است و استفاده از آن‌ها هزینه زیاد برق را نیز برای شما به دنبال دارد.

بنابراین استخراج رمزارزها به‌خصوص ارزهای دیجیتالی محبوب و ارزشمند هزینه زیادی دارد و طبیعتاً برخی از افرادی که نمی‌خواهند درآمد قابل‌توجه استخراج این ارزهای دیجیتال را از دست بدهند و از سوی دیگر حاضر به ‌صرف هزینه لازم برای انجام این کار نیستند یا توانایی صرف این هزینه نسبتاً سنگین را ندارند، وسوسه می‌شوند با روش‌های غیرقانونی و غیراخلاقی بدون هیچ‌گونه هزینه‌ای به ارزهای دیجیتال ارزشمند دست پیدا کنند!

بنابراین آن‌ها تلاش می‌کنند با بهره‌گیری از کدها و بدافزارها به منابع دارای قدرت محاسباتی کافی و لازم برای دستیابی به ارزهای دیجیتال، یعنی همان کامپیوترها یا دستگاه‌های کامپیوتری قوی دارای کارت‌های گرافیک و سی‌پی‌یوهای قدرتمند (در برخی از موارد از حافظه ذخیره‌سازی دستگاه‌ها نیز برای استخراج رمزارز استفاده می‌شود!) یا سیستم‌های متصل به سرویس‌های ارائه‌دهنده خدمات رایانش ابری دست پیدا کنند. چنین تصمیمی منجر به انجام حملات سایبری کریپتوجکینگ می‌شود

روش‌های انجام این حملات سایبری به شرح زیر است:

انتقال بدافزار یا کد طراحی‌شده برای انجام کریپتوجکینگ به سیستم‌های کامپیوتری

در این روش مجرمان سایبری بدافزار یا کد قابل‌استفاده برای استخراج رمز ارز را با روش‌های مختلف به کامپیوترهای کاربران انتقال می‌دهند. این روش‌ها شامل موارد زیر می‌شود:

• حملات فیشینگ مثل ارسال یک لینک آلوده برای کاربران از طریق ایمیلی به‌ظاهر معمولی و بدون مشکل و تشویق آن‌ها به کلیک روی آن لینک
• تشویق کاربر به دانلود یک فایل آلوده
• پنهان‌سازی بدافزارها در کدهای اسکریپت و تزریق این کدها به صفحات وب و تبلیغات اینترنتی

متداول‌ترین روش انجام کریپتوجکینگ با ارسال بدافزار به دستگاه کاربر، ارسال یک لینک برای کاربر از طریق ایمیلی به‌ظاهر معمولی و بدون مشکل و تشویق کاربر برای کلیک روی آن لینک است. پس از اینکه کاربر روی لینک آلوده کلیک می‌کند، بدافزار یا کد (کد اسکریپت) طراحی‌شده برای استخراج رمزارز در پس‌زمینه سیستم‌عامل اجرا می‌شود و نتیجه فعالیت خود را با انجام محاسبات ریاضی پیچیده از طریق زیرساخت فرماندهی و کنترل (C2) به سرور تحت کنترل هکر ارسال می‌کند.

در ضمن همان‌طور که گفتیم در برخی از مواقع کدها یا بدافزارهای مورداستفاده برای کریپتوجکینگ با تزریق کد اسکریپت به صفحات وب و تبلیغات اینترنتی به سیستم کاربر نفوذ می‌کند؛ معمولاً در این روش کدهای اسکریپت دربردارنده خود یا بدافزار مخرب، در تبلیغ خود را پنهان کند و پس از نمایش داده شدن تبلیغ به کاربر و کلیک کردن کاربر روی آن، سیستم آلوده و استخراج غیرقانونی رمزارز شروع شود.

نفوذ به سرورها و دستگاه‌های شبکه‌شده آسیب‌پذیر

تقریباً در تمام موارد سرورها، دستگاه‌های اینترنت اشیا و دستگاه‌های شبکه‌شده، به یک کامپیوتر یا سیستم کامپیوتری قوی با قدرت محاسباتی بالاتر از قدرت محاسباتی کامپیوترهای شخصی متداول متصل هستند. چنین سرورها و دستگاه‌هایی درصورتی‌که آسیب‌پذیر باشند و بتوان به‌راحتی به آن‌ها نفوذ کرد، برای هکرهای در حال انجام کریپتوجکینگ هدف بسیار خوبی هستند؛ زیرا از طریق آن‌ها می‌توان به منبع خوبی از قدرت محاسباتی دست پیدا کرد! مثلاً درصورتی‌که سروری به یک شبکه اینترنت عمومی متصل باشد، در برخی از موارد کاملاً آسیب‌پذیر است و هکرها می‌توانند به‌راحتی به آن نفوذ کنند.

هکرهای مصمم به انجام کریپتوجکینگ، همیشه به دنبال چنین اهدافی هستند و پس از اسکن کردن دستگاه‌هایی که احتمال آسیب‌پذیربودن آن‌ها وجود دارد (مثل دستگاه‌های متصل به شبکه اینترنت عمومی) و یافتن دستگاه یا سرورهای موردنظر، تلاش می‌کنند با یافتن حفره‌های امنیتی یا یک آسیب‌پذیری در آن‌ها مثل Log4J، نرم‌افزار استخراج رمز ارز را بی‌سروصدا به سیستمی که آن را به‌صورت مخفیانه به سرورهای خود متصل کرده‌اند، وارد و آن را اجرا کنند. در این روش کریپتوجکینگ در اغلب موارد هکرها پس از نفوذ به اولین سیستم، بدافزار خود را از طریق آن سیستم به سایر دستگاه‌های متصل به شبکه انتقال می‌دهند و به این صورت کل شبکه را آلوده می‌کنند!

هدف قرار دادن تعداد زیادی از نرم‌افزارها

در این روش هکرها با واردکردن تعدادی بدافزار و کتابخانه‌ (لایبرری) مخرب دربردارنده کدهای اسکریپت کریپتوجکینگ در کدهای خود، در مجموعه‌ای از کدهای متن‌باز، شرایط را برای هدف قرار دادن نرم‌افزارهای برای انجام حمله سایبری خود فراهم می‌کنند؛ زیرا توسعه‌دهندگان نرم‌افزار ناخواسته این کدهای مخرب را برای ساخت نرم‌افزار، میلیون‌ها مرتبه دانلود می‌کنند و به این صورت شرایط برای انجام کریپتوجکینگ در سطح گسترده در سراسر جهان فراهم می‌شود!

هکرها در این روش از دو طریق می‌توانند به منابع ارائه‌دهنده قدرت محاسباتی دست پیدا کنند. در روش اول آن‌ها کامپیوتر خود توسعه‌دهندگان را مستقیماً هدف قرار می‌دهند و استخراج غیرقانونی رمزارز را شروع می‌کنند. طبیعتاً درصورتی‌که یک یا چند شبکه یا پلتفرم رایانش ابری به این کامپیوترها متصل شده باشند، هکرها آن‌ها را نیز آلوده می‌کنند و به خدمت می‌گیرند.

در روش دوم هکرها منتظر می‌مانند تا نرم‌افزارهای تهیه‌شده با کدهای آلوده با قابلیت اجرای کدهای اسکریپت کریپتوجکینگ ساخته شوند و کاربران نهایی آن‌ها را روی کامپیوتر خود نصب کنند! طبیعتاً در روش دوم هکرها می‌توانند به شبکه عظیمی از کامپیوترها دست پیدا کنند!

نفوذ به سرویس‌های رایانش ابری

نفوذ به سرویس‌های رایانش ابری نیز یکی از روش‌های متداول انجام کریپتوجکینگ است. هکرها با این روش می‌توانند به یک منبع عظیم و غنی از قدرت محاسباتی دست پیدا کنند. نتایج یک مطالعه انجام‌شده در سال ۲۰۲۱ توسط اعضای گروه پژوهشی فعال در حوزه امنیت سایبری گوگل (Google’s Cybersecurity Action Team) نشان می‌دهد ۸۶ درصد از حملات سایبری به زیرساخت‌های ابری و نفوذ به آن‌ها، مربوط به حملات کریپتوجکینگ هستند.

به گفته گای اراضی (Guy Arazi) پژوهشگر امنیتی ارشد شرکت پژوهشی پالو آلتو نتورکز (Palo Alto Networks)، امروزه هکرها با ابزارهای مختلف سرویس‌های ابری را هدف قرار می‌دهند تا با بهره‌مندی از آن‌ها ارزهای دیجیتالی بیشتر و بیشتری استخراج کنند.

این افراد در صورت استفاده از سرویس‌های ابری به میزانی از قدرت محاسباتی دست پیدا می‌کنند که بسیار بیشتر از قدرت محاسباتی یک کامپیوتر است و به همین دلیل می‌توانند برای دستیابی به ارزهای دیجیتالی، میزان زیادی از محاسبات را به‌راحتی انجام دهند.

هکرهایی که از سرویس‌های رایانش ابری به‌عنوان ابزار حمله کریپتوجکینگ استفاده می‌کنند یا از طریق حساب‌های کاربری متصل به سرویس‌های ابری، به آن‌ها نفوذ می‌کنند یا از طریق اپلیکیشن‌های طراحی‌شده مبتنی بر بهره‌مندی از فضای ابری، وارد این فضا می‌شوند و با بهره‌مندی از منابع آن، محاسبات لازم برای استخراج رمزارز را انجام می‌دهند.

در ضمن هکرها در این روش ابتدا تلاش می‌کنند واسط‌های برنامه‌نویسی کاربردی (API) کانتینرهایی (ابزارهای مجازی برای اجرای بدون مشکل نرم‌افزارها در سیستم‌عامل‌ها و پلتفرم‌های مختلف) که سایر هکرها به آن‌ها نفوذ کرده‌اند یا فضاهای ذخیره‌سازی ابری فاقد امنیت لازم را پیدا کنند و سپس از طریق آن‌ها نرم‌افزار استخراج رمز ارز را در نرم‌افزارهای ایجادشده بر پایه استفاده از سرویس‌ها یا سرورهای ابری وارد می‌کنند.

برای انجام حمله کریپتوجکینگ به این شکل ابتدا از نرم‌افزاری برای اسکن سرورهای متصل به شبکه اینترنت عمومی با واسطه‌های برنامه‌نویسی کاربردی قابل‌نفوذ یا واسط‌های برنامه‌نویسی قابل‌دسترسی بدون کسب اجازه استفاده می‌شود و پس از اینکه هکرها به نخستین سیستم نفوذ کردند، عملیات استخراج کریپتوکارنسی را در آن سیستم با استفاده از کد اسکریپت آغاز و سپس تلاش می‌کنند به تمام دستگاه‌های متصل به آن سیستم، نیز نفوذ و از قدرت محاسباتی آن‌ها استفاده کنند.

دسترسی به منابع وسیعی از قدرت محاسباتی و انجام حمله کریپتوجکینگ در سطح گسترده، می‌تواند برای هکرها بسیار سودآور باشد و به همین دلیل آن‌ها انگیزه اقتصادی خوبی برای انجام این کار دارند و تلاش می‌کنند تا جای ممکن برای استخراج رایگان و غیرقانونی رمزارز از سرویس‌های رایانش ابری سوءاستفاده کنند

چرا حملات کریپتوجکینگ محبوب و گسترده شده‌اند؟

طبق گزارش شرکت امنیتی «ریزن لبس» (ReasonLabs) در سال ۲۰۲۱ حدود ۵۸.۴ درصد از تمام تروجان‌ها به‌عنوان تروجان‌های مورداستفاده برای استخراج رمزارزها شناخته و تشخیص داده شده‌اند. نتایج مطالعه شرکت دیگری به نام سونیک وال (Sonicwall) نشان می‌دهد که در سال ۲۰۲۱ بیشترین میزان حملات کریپتوجکینگ تا به امروز روز رخ داده و در این سال شاهد ۹۷.۱ میلیون حمله کریپتوجکینگ بوده‌ایم.

چنین عددی واقعاً عدد بزرگ و نگران‌کننده‌ای محسوب می‌شود و این آمار نشان می‌دهد اکنون مجرمان سایبری در حال دستیابی به میزان زیادی از ارزهای دیجیتالی هستند! اگرچه از بهار سال میلادی ۲۰۲۲ قیمت تمام ارزهای دیجیتال به میزان زیادی کاهش یافته و قیمت ارز بیت کوین به زیر ۳۰ هزار دلار رسیده است؛ اما باز هم حملات کریپتوجکینگ می‌توانند پول بسیار زیادی را برای هکرها به ارمغان بیاورند که می‌توانند زمینه‌ساز انجام فعالیت‌های سایبری مخرب زیادی در فضای وب شوند.

نمونه‌هایی از حملات کریپتوجکینگ

موارد زیر نمونه‌های شاخص از گسترده‌ترین حملات کریپتوجکینگ هستند:

نفوذ به API موتور داکر و سرورهای ردیس

موتور داکر (Docker Engine) نرم‌افزار متن‌باز مدیریت کانتینرهای اپلیکیشن ها است و سرورهای ردیس (Redis servers)، سرورهای متعلق به‌نوعی پایگاه داده تحت عنوان ردیس هستند. هکرها پس از انتقال بدافزارهای خود به API موتور داکر و سرورهای ردیس، بدافزارها را همچون کرم‌های سایبری در سرورها و کدها گسترش دادند. این حمله توسط گروه حمله سایبری «واچ داگ» (WatchDog attack group) انجام شده که در اواخر سال ۲۰۲۱ و اوایل ۲۰۲۲ فعال بوده است.

نفوذ به سرویس فضای ابری علی‌بابا

این حمله در سال ۲۰۲۱ توسط اعضای گروه حمله سایبری «تی ان تی تیم» (TNT Team) انجام شد که جزو نخستین گروه‌های هکی بود که اعضای آن برای حمله کریپتوجکینگ رویکرد خود را تغییر دادند و به میزان زیادی روی سوءاستفاده از سرویس‌های ابری تمرکز کردند.

اعضای این گروه با همکاری اعضای گروه هکر رقیب خود یعنی کینسیگ (Kinsig) ماینرها را روی سرویس ابری علی بابا (Alibaba Elastic Computing Service) نصب و برای جلوگیری از شناسایی‌شدن، ویژگی‌های امنیتی این سرویس ابری را نیز غیرفعال کردند.

سوءاستفاده از آسیب‌پذیری log4j

آسیب‌پذیری log4j به یک راه نفوذ بسیار خوب برای هکرهای کریپتوجکینگ در سال ۲۰۲۲ تبدیل شده است. پژوهشگران امنیتی دریافته‌اند که در ابتدای سال ۲۰۲۲ گروهی از هکرها با سوءاستفاده از آسیب‌پذیری log4j از طریق ربات‌های ماینر و بکدرها (backdoors)، سرورهای نرم‌افزار ماشین مجازی VMware Horizon را با هدف واردکردن یک سری ابزار استخراج رمز ارز هدف قرار داده‌اند. این ابزارها شامل ماینرهای z0Miner و JavaX miner و حداقل دو نوع ریگ XMRig یعنی بات‌های جین (jin) و میمو (Mimu) می‌شود.

هدف قرار دادن نرم‌افزارها با سوءاستفاده از لایبرری npm

متخصصان حوزه امنیت نرم‌افزارها سال ۲۰۲۱ در مورد وجود پکیج‌های مخرب کریپتوجکینگ پنهان‌شده در لایبرری npm هشدار دادند. این لایبرری دربردارنده کدهای جاوا اسکریپت مورداستفاده توسط توسعه‌دهندگان نرم‌افزار سراسر دنیا است.

پژوهشگران در آن زمان سه پکیج مشکوک را در این لایبرری پیدا کردند که حداقل یکی از آن‌ها دارای نمونه ساختگی یک لایبرری قانونی و محبوب مورداستفاده توسط توسعه‌دهندگان نرم‌افزار سراسر جهان به نام ua-parser-js بود. ua-parser-js در هفته بیش از ۷ میلیون بار دانلود می‌شود و استفاده از نمونه ساختگی این لایبرری بهترین راه‌حل برای سوءاستفاده از توسعه‌دهندگان نرم‌افزار است؛ زیرا ممکن است آن‌ها تصادفاً یک بیت مخرب از یک کد را دانلود و در نرم‌افزار خود نصب کنند.

چند ماه پس از ارائه این گزارش گروهی دیگر از پژوهشگران امنیتی اعلام کردند که لایبرری npm با ۱۳۰۰ پکیج مخرب دربردارنده کدهای مخرب طراحی‌شده برای استخراج غیرقانونی رمز ارز و سایر جرائم سایبری آلوده شده است.

هدف قرار دادن دستگاه‌های لینوکس با بدافزار استخراج رمزارز

تابستان ۲۰۲۱ یک گروه هکر رومانیایی شناسایی شدند که دستگاه‌های مبتنی بر لینوکس را با کلیدهای SSH (کلیدهایی که برای ورود به سیستم تنها برای یک‌بار طراحی شده‌اند و همچون گذرواژه عمل می‌کنند) برای به‌کارگیری «بدافزار مونرو» (Monero Malware)، بدافزار طراحی‌شده برای استخراج رمز ارز، هدف قرار دادند. ابزار مورداستفاده توسط این گروه هکری در یک پلتفرم ابری ارائه خدمات توزیع شد.

این مورد نقطه آغاز گرایش به سمت هدف قرار دادن دستگاه‌های لینوکس برای انجام حملات کریپتوجکینگ بود. در ابتدای سال ۲۰۲۲ گزارشی منتشر شد که حاکی از افزایش حمله به محیط‌های متشکل از چند سرویس ابری بر پایه لینوکس، با استفاده از بدافزارهای مورداستفاده برای استخراج رمزارز به‌ویژه نرم‌افزار استخراج XMRig بود.

در گزارش مذکور گفته‌شده در بسیاری از موارد مرتبط با هدف قرار دادن دستگاه‌های لینوکس برای حملات کریپتوجکینگ، ردپاهایی از استفاده از اپلیکیشن XMRig دیده می‌شود. طبق اطلاعات منتشرشده در این گزارش، در ۸۹ درصد حملات کریپتوجکینگ از لایبرری‌های مرتبط با اپلیکیشن XMRig استفاده می‌شود؛ بنابراین در صورت شناسایی لایبرری‌های مختص XMRig یا باینری‌های لینوکس (مجموعه‌ای از کدهای منبع تبدیل‌شده به کد ماشین برای اجرای دستورالعمل‌ها)، حتماً باید احتمال وجود حمله کریپتوجکینگ در نظر گرفته شود.

استفاده پویش مخرب کوین استاپ از تاکتیک‌های گریز

«کوین استاپ» (Coinstop) یکی دیگر از پویش‌های مرتبط با حملات کریپتوجکینگ است که به‌تازگی کشف شده و افراد فعال در این پویش تأمین‌کنندگان سرویس ابری آسیایی را هدف قرار داده‌اند. آنچه این پویش را از سایر پویش‌های مشابه خود متمایز کرده، بهره‌مندی افراد فعال در آن از تکنیک‌های راه‌دررو و پنهان یا نابود کردن داده‌ها برای جلوگیری از دسترسی به آن‌ها است.

از میان این تکنیک‌ها می‌توان به تغییر در timestamps یا برچسب‌های زمانی (منظور از برچسب زمانی ثبت زمان اتفاقات رخ داده برای یک فایل در یک سیستم با فرمت NTFS است) با هدف دستکاری آن‌ها، حذف سیاست‌های مرتبط با رمزارزنگاری در سیستم‌ها و همچنین استفاده از فایل دستگاه /dev/tcp به‌منظور سوءاستفاده از آسیب‌پذیری سیستم و نفوذ و دسترسی به آن است.

یافتن یک مزرعه استخراج غیرقانونی در انبار یک شرکت

گاهی اوقات افرادی که دست به حملات کریپتوجکینگ می‌زنند، نه‌تنها به‌طور غیرقانونی از قدرت محاسباتی سوءاستفاده می‌کنند، بلکه از برق و منابع شبکه زیرساخت یک شرکت نیز به‌صورت پنهانی و غیرقانونی برای استخراج غیرقانونی رمزارز استفاده می‌کنند. سال گذشته یک مزرعه استخراج غیرقانونی (منظور از مزرعه استخراج شبکه‌ای بزرگ متشکل از چند دستگاه ماینر رمز ارز) با چند ریگ کارت گرافیک در انبار شرکتی پیدا شد که مخفیانه به شبکه برق شرکت متصل شده بود.

چگونه بفهمیم سیستم ما قربانی حمله کریپتوجکینگ شده است؟

همان‌طور که ابتدای مقاله گفتیم درصورتی‌که سیستم ما قربانی حمله کریپتوجکینگ شود، هیچ‌گونه نشانه آشکاری در آن نمی‌بینیم؛ زیرا هکرها تلاش می‌کنند بدافزارها و کدهای طراحی‌شده برای استخراج غیرقانونی رمزارز تا جای ممکن باعث تغییر عملکرد سیستم نشوند و سیستم با حالت طبیعی به کار خود ادامه دهد؛ اما بااین‌حال در صورت آلوده شدن سیستم تغییراتی در آن ایجاد می‌شود که به شرح زیر است:

افت عملکرد

فعالیت ابزارهای طراحی‌شده برای استخراج پنهانی رمزارز، عملکرد سیستم را مختل می‌کند و باعث هنگ کردن سیستم و افت شدید عملکرد و سرعت آن می‌شود. چنانچه لپ‌تاپی قربانی کریپتوجکینگ شود، شارژ باتری آن سریعاً تخلیه می‌شود.

افزایش شدید دمای سیستم

فعالیت بدافزارهای استخراج رمزارز، سیستم را وادار به انجام فعالیت‌های محاسباتی سنگین و پیچیده می‌کند که افزایش شدید دمای آن در حین فعالیت را به دنبال دارد. افزایش شدید دمای سیستم در برخی از موارد باعث آسیب جدی به سیستم را به دنبال دارد و حتی اگر هم به سیستم آسیب نزند، منجر به کاهش عمر مفید آن می‌شود. افزایش بیش‌ازحد دمای دستگاه‌های ابری از دیگر نشانه‌های آلوده‌شدن سیستم به ابزارهای استخراج غیرقانونی رمزارز است.

فعالیت شدید فن‌های سیستم

درصورتی‌که متوجه شدید فن‌های سیستم با سرعتی بیش از سرعت معمول کار می‌کنند، باید این احتمال را در نظر بگیرید که بدافزار یا کد اسکریپت استخراج رمزارز سیستم شما را آلوده کرده و فعالیت آن باعث افزایش دمای سیستم شده است.

درگیر شدن بیش‌ازحد سی‌پی‌یو در هنگام بازدید از یک وب‌سایت

چنانچه در هنگام بازدید از وب‌سایت‌هایی که صوت، تصویر و ویدیوهای کمی دارند یا اصلاً فاقد چنین محتواهایی هستند، سی‌پی‌یو به میزان بالایی درگیر می‌شود، باید احتمال آلوده شدن سیستم به بدافزارها و کدهای اسکریپت مورداستفاده برای کریپتوجکینگ را در نظر بگیرید.

برای مشاهده میزان درگیری سی‌پی‌یو در حین بازدید از یک وب‌سایت، باید سه دکمه CTRL و SHIFT و esc را هم‌زمان با هم بزنید تا پنجره تسک منیجر (Task manager) باز شود و در سربرگ process میزان درگیر بودن سی‌پی‌یو را مشاهده کنید؛ البته لازم به ذکر است در برخی از مواقع با بررسی میزان درگیر بودن سی‌پی‌یو هم نمی‌توانیم در مورد وجود یا عدم وجود بدافزارهای کریپتوجکینگ در سیستم خود مطمئن شویم؛ زیرا گاهی اوقات چنین بدافزارهایی خود را در سربرگ process در قالب فعالیت‌های پردازشی معمول و متداولی نمایش می‌دهند که در هر سیستمی به‌طور طبیعی وجود دارند و ممکن است حتی با بررسی آن دسته از فعالیت‌های پردازشی که سی‌پی‌یو را به میزان قابل‌توجهی درگیر کرده‌اند، نیز اصلاً متوجه آلوده‌شدن سیستم خود نشویم.

چگونه اجازه ندهیم سیستم ما قربانی حمله کریپتوجکینگ شود؟

به دلیل اینکه مستقیماً نمی‌توانیم متوجه شویم که سیستم ما قربانی کریپتوجکینگ شده است و در صورت نفوذ افراد دست‌اندرکار این حمله سایبری به سیستم خود، با مشکلات زیادی مواجه می‌شویم، حتماً باید نکات لازم را برای محافظت از سیستم خود در برابر کریپتوجکینگ انجام دهیم که به شرح زیر هستند:

• نصب نرم‌افزارها تشخیص‌دهنده بدافزارهای طراحی‌شده برای استخراج غیرقانونی رمزارز و همچنین افزونه‌های طراحی‌شده برای این کار مثل No Coin ،minerBlock و Anti Minder برای مسدودسازی این بدافزارها در فضای وب
• به‌روزرسانی مرتب ابزارهای طراحی‌شده برای فیلتر کردن آدرس‌های URL مشکوک به آلوده بودن
• خودداری از استفاده از افزونه‌های مشکوک و نامعتبر در مرورگرهای مختلف برای جلوگیری از آلوده‌شدن سیستم به کدهای اسکریپت طراحی‌شده برای اجرای فرایند استخراج غیرقانونی رمزارز
• محافظت از سرورها و افزایش امنیت آن‌ها و خودداری از اتصال سرورهای دارای قدرت محاسباتی بالا به شبکه‌های اینترنت عمومی
• محافظت از وسایل اینترنت اشیا و کامپیوترهایی که این دستگاه‌ها به آن‌ها متصل هستند
• رفع حفره‌های امنیتی و آسیب‌پذیری‌های قدیمی سرورها و کامپیوترها با استفاده از آپدیت و پچ‌های امنیتی
• غیرفعال کردن سرویس‌هایی که استفاده نمی‌کنید
• خودداری از اتصال وسایل غیرضروری به سرورها
• استفاده از ابزار تجزیه‌وتحلیل کدهای مورداستفاده برای ساخت نرم‌افزار به‌منظور جلوگیری از سوءاستفاده از نرم‌افزارها برای واردکردن کدهای اسکریپت طراحی‌شده برای استخراج غیرقانونی رمزارز به سیستم کاربرها
• محدودسازی پیکربندی سرویس‌های ابری و کانتینر نرم‌افزارها با اقدامات لازم.

از میان این اقدامات می‌توان به تلاش برای یافتن سرویس‌های ابری متصل به شبکه‌های اینترنت عمومی که هکرها بدون کسب مجوز قانونی به آن‌ها دسترسی و نفوذ پیدا کرده‌اند، یافتن و حذف سرورهایی که API آن‌ها تحت نفوذ هکرها قرار گرفته‌اند و همچنین حذف اطلاعات مهم مثل داده‌های مربوط به تثبیت هویت و سایر اطلاعات محرمانه در محیط‌های توسعه نرم‌افزار و محیط‌های کدنویسی سخت اپلیکیشن‌ها اشاره کرد

• آگاهی‌سازی و هوشیارسازی اعضای گروه‌های حفظ امنیت سایبری در مورد حملات کریپتوجکینگ و نشانه‌های آن

انجام این کار در شرکت‌های فعال در حوزه IT، شرکت‌های دارای کامپیوترها و سرورهای دارای قدرت محاسباتی بالا و همچنین شرکت‌هایی که به میزان گسترده‌ای از سرویس‌های رایانش ابری استفاده می‌کنند، اهمیت زیادی دارد. در ضمن اطلاعات لازم در مورد نشانه‌های حمله کریپتوجکینگ و امنیت سایبری باید به کارمندان عادی چنین شرکت‌هایی نیز ارائه شود. مثلاً باید به آن‌ها هشدار داد از کلیک کردن روی فایل‌های مشکوک ارسال‌شده از طریق ایمیل‌های مشکوک و همچنین دانلود فایل‌های مشکوک خودداری کنند.

• غیرفعال کردن پرمیشن مربوط به کد جاوا اسکریپت در وب‌سایت‌های مختلف به‌منظور جلوگیری از ورود کد طراحی‌شده برای استخراج غیرقانونی رمزارز

• استفاده از ابزارهای کنترل‌کننده تمام انواع ترافیک‌های مصرفی در فضای وب و شبکه و همچنین ترافیک خروجی مرتبط با استفاده از ابزارها و تکنیک‌های مورداستفاده توسط هکرها برای نفوذ به سیستم و برقراری ارتباط با آن. در صورت کنترل این ترافیک خروجی می‌توان حمله کریپتوجکینگ را به‌راحتی تشخیص داد

• استفاده از ابزار کنترل میزان استفاده از منابع سرویس‌های ابری و همچنین کنترل منتظر زمان فعالیت یک کانتینر

با انجام دو کار به‌راحتی می‌توان به‌راحتی دسترسی غیرمجاز به منابع قدرت محاسباتی سرویس‌های ابری و کانتینرها برای استخراج غیرقانونی رمزارز را تشخیص داد. بسیاری از شرکت‌های بزرگ ارائه‌دهنده سرویس‌های ابری اقداماتی را در این زمینه انجام داده‌اند؛ به‌عنوان‌مثال گوگل در ابتدای سال ۲۰۲۲ ویژگی جدیدی تحت عنوان Virtual Machine Threat Detection یا VMTD (تشخیص تهدید ماشین مجازی) را در مرکز فرماندهی امنیتی (Security Command Center) سرویس ابری خود یعنی گوگل کلود (Google cloud)، اختصاصاً برای تشخیص نشانه‌های حمله کریپتوجکینگ از میان سایر تهدیدات سایبری فضای ابری ایجاد کرد.

• بررسی مرتب دستگاه‌های در معرض خطر آلوده‌شدن به بدافزارهای استخراج غیرقانونی رمزارز

تاکنون چند بار اشاره کرده‌ایم چنین بدافزارهایی به‌صورت مخفیانه در سیستم‌ها فعالیت می‌کنند و رد قابل‌توجهی از خود به‌جای نمی‌گذارند؛ به همین دلیل دستگاه‌های دارای قدرت محاسباتی بالا باید هر چند وقت یک‌بار به‌طور دقیق بررسی شوند تا اطمینان لازم برای عدم وجود نشانه‌های کوچک یا بزرگ فعالیت بدافزارهای کریپتوجکینگ در آن‌ها حاصل شود

در صورت تشخیص وجود بدافزارهای استخراج مخفی رمزارز در سیستم خود چه کنیم؟

در صورت تشخیص چنین موضوعی باید سریعاً با اقداماتی استاندارد برای مقابله با حمله کریپتوجکینگ در چهار مرحله اقدام کنیم که شامل مهار حمله، ازبین‌بردن آسیب‌های ناشی از آن به سیستم، بازیابی سیستم و رفع مشکلات ناشی از آلوده‌شدن آن و درنهایت کسب اطلاعات لازم در مورد روش‌های مورداستفاده توسط هکرها و مجرمان سایبری، برای جلوگیری از آلوده شدن دوباره سیستم می‌شود. بهترین اقدام‌ها برای مقابله با حمله کریپتوجکینگ به شرح زیر است:

بستن تب وب‌سایت‌های آلوده در مرورگر

در صورت مطمئن‌شدن از وجود بدافزارهای طراحی‌شده برای این حمله در یک وب‌سایت، باید تب آن را سریعاً ببندید، آدرس URL وب‌سایت آلوده یادداشت و با افزونه‌های مسدودکننده URL مانند FocusMe و Blocksite Chrome Extension (برای مرورگر گوگل کروم) و LeechBlock NG (برای مرورگر گوگل کروم و فایرفاکس)، آن‌ها را مسدود کنید. طبیعتاً اعضای گروه‌های تأمین امنیت سایبری شرکت‌های قربانی، نیز باید در صورت شناسایی وب‌سایت‌های آلوده این اقدامات را انجام دهند

متوقف کردن استفاده از کانتینرهای آلوده و استفاده از کانتینرهای جدید با امنیت بالا

البته شرکت‌ها در صورت شناسایی کانتینر یا کانتینرهای آلوده، ابتدا باید با بررسی‌های کامل و دقیق آسیب‌پذیری‌های مسبب آلوده‌شدن کانتینرهای مورداستفاده توسط خود را بیابند و آن‌ها را برطرف کنند و به دنبال نشانه‌های آلوده شدن داشبورد کانتینر و اطلاعات مربوط به تثبیت هویت نرم‌افزار نیز باشند. در ضمن باید سرویس‌های ابری متصل به دستگاه‌های آلوده نیز به‌دقت بررسی شود. در صورت تصمیم برای استفاده از ایمیج کامپیوتر جدید به‌جای ایمیج قبلی، پیکربندی ایمیج جدید نباید مشابه پیکربندی ایمیج قبلی باشد

حذف برخی از پرمیشن ها و ایجاد مجدد کلیدهای API

سازمان‌هایی که برای ارائه خدمات خود از سرویس‌های ابری استفاده می‌کنند، برای ریشه‌کنی بدافزارهای مورداستفاده برای کریپتوجکینگ در سرویس‌های ابری و بازیابی این سرویس‌ها، باید مجوزهای دسترسی به منابع قدرت محاسباتی موجود در این سرویس‌ها و دستگاه‌های متصل به آن‌ها را کاهش دهند و به‌منظور جلوگیری از حمله مجدد سایبری به سرویس‌های ابری، کلیدهای API را از نو ایجاد کنند.

کسب اطلاعات لازم در مورد حملات سایبری

سازمان‌‌ها و شرکت‌های دارای منابع قوی قدرت محاسباتی باید اطلاعات لازم در مورد روش‌های مورداستفاده توسط هکرها برای نفوذ به سیستم و انجام حملات سایبری و روش‌های مقابله با این تکنیک‌ها را کسب کنند و این اطلاعات را به کارمندان و اعضای گروه‌ تأمین امنیت سایبری خود منتقل کنند.

سؤالات متداول در مورد کریپتوجکینگ