Cryptojacking

Cryptojacking se od tradičních kybernetických hrozeb liší zejména tím, že jeho primárním cílem není krádež citlivých dat, narušení provozu nebo například nasazení ransomwaru, ale generování zisku z kryptoměn pro útočníka. Výraz „cryptojacking“ vznikl kombinací slov „cryptocurrency“ (kryptoměna) a „hijacking“ (únos či přepadení). 

Vývoj cryptojackingu 

Masivní nástup cryptojackingu začal koncem roku 2017 v souvislosti s prudkým vzestupem hodnoty kryptoměn, zejména kryptoměny monero. Klíčovým momentem v historii cryptojackingu bylo spuštění služby Coinhive v září 2017, která byla původně prezentována jako legitimní nástroj pro majitele webových stránek k monetizaci jejich obsahu. Jako doplněk či úplnou náhradu zisků ze zobrazování reklamy mohli provozovatelé do svých internetových stránek integrovat skript Coinhive, který využíval část výpočetního výkonu procesorů v počítačích návštěvníků webu k těžbě kryptoměny monero. 

Kyberútočníci ale službu Coinhive zneužili pro vlastní prospěch a kódem na těžbu kryptoměn infikovali miliony webových stránek po celém světě. Coinhive oznámil ukončení provozu 8. března 2019 s odůvodněním, že projekt již není ekonomicky životaschopný kvůli poklesu hodnoty monera z vrcholu kolem 540 dolarů v lednu 2018 na přibližně 50 dolarů o rok později. Současně s tím začalo také rychle klesat množství webových stránek, které cryptojacking vykonávaly, ve prospěch dalších metod cryptojackingu. 

Mechanismus útoku 

Cryptojacking může být prováděn prostřednictvím malwaru (cryptomineru) nainstalovaného na počítači oběti (například prostřednictvím phishingu), infikovaných webových stránek nebo jiných metod běžných u malwarových útoků. Současně ale může fungovat prostřednictvím malých částí kódu (typicky v JavaScriptu) vložených do reklam nebo přímo do obsahu webových stránek, které se aktivují pouze při návštěvě konkrétní internetové stránky nic netušícím uživatelem. 

Cryptominingový malware běží skrytě na pozadí operačního systému napadeného počítače a přebírá kontrolu nad procesorem (CPU) i grafickým čipem (GPU) zařízení s cílem využít jejich výpočetní výkon k těžbě kryptoměn.  

Existuje přitom i cloudový cryptojacking, kdy útočníci zneužijí odcizený přístup ke cloudovým službám organizace, opět za účelem využití dostupného výpočetního výkonu k nelegální těžbě kryptoměn. Organizace je pak poškozena nejen narušením vlastních legitimních operací, ale také potenciálně značným zvýšením poplatků za čerpání cloudových služeb. 

Většina nelegálních cryptominerů těží měnu monero nebo ethereum. Důvodem využívání těchto kryptoměn oproti známějšímu bitcoinu je především vyšší úroveň anonymity transakcí a možnost těžby pomocí běžného procesoru a grafické karty namísto drahého specializovaného hardwaru. 

V současné době zásadně ustupuje cryptojacking prostřednictvím skriptů na webových stránkách. Tato technika se ukázala jako velmi neefektivní, protože návštěvníci by museli na infikované internetové stránce strávit velmi dlouhou dobu, aby bylo možné skutečně vygenerovat nějaký zisk v kryptoměně. Stále ovšem existuje riziko nákazy cryptominerem pro počítače i mobilní zařízení a zcela zásadní hrozbou je také cloudový cryptojacking. 

Cryptomineři mohou kombinovat svůj cryptojackingový malware s dalšími typy škodlivého softwaru, jako je ransomware. Některé cryptojackingové malwary mají také schopnost šířit se dále v síti a infikovat další zařízení. 

Příznaky a detekce cryptojackingu 

Těžba kryptoměn za využití cryptomineru je zpravidla spojena s extrémně vysokým vytížením procesoru napadeného zařízení, které má znatelné vedlejší účinky. Oběti často zaznamenají značné snížení výkonu zařízení při běžném používání, jeho přehřívání a také zvýšenou aktivitu ventilátorů (v případě počítačů či serverů) a s tím spojenou hlučnost. Jednoduše řečeno, zařízení, které bez vědomí majitele těží kryptoměny, běží na plný výkon i ve chvílích, kdy nejsou spuštěny žádné legitimní aplikace. Kromě rychlejšího opotřebení hardwaru je nezbytným důsledkem také zvýšení spotřeby elektřiny. V případě mobilních zařízení jde o nedostatek výkonu k běžným aktivitám, zahřívání a velmi rychlé vybíjení baterie. Cryptojacking v neoprávněně využívaných cloudových instancích se zpravidla projeví zásadním zvýšením účtovaného výpočetního výkonu. 

Mezi cryptojackingový malware patří například WannaMine, který je velmi obtížně detekovatelný, jelikož běží jen v operační paměti napadeného počítače a neukládá se na jeho disk. Šíří se prostřednictvím WMI skriptů a PowerShellu a zneužívá zranitelnosti EternalBlue. Prostřednictvím Facebook Messengeru a falešných odkazů na videozáznamy se šíří FacexWorm, který zachytává přihlašovací údaje, přesměrovává transakce na kryptoměnových burzách a těží kryptoměnu monero. A Coinhive DNS Hijack kompromituje DNS záznamy služby Coinhive a přesměrovává těžbu kryptoměny monero do peněženky útočníka.  

Obrana před cryptojackingem 

Základní obranu proti cryptominerům představuje antivirový software instalovaný na koncovém zařízení, který by měl tento typ malwaru detekovat. Další vrstvu ochrany poskytují řešení typu IDS (Intrusion Detection System), která pomáhají identifikovat podezřelé chování zařízení v síti. Pro blokování cryptojackingových skriptů na webových stránkách mohou sloužit specializovaná rozšíření internetových prohlížečů. Vzhledem k tomu, že se cryptojackingové skripty často šíří prostřednictvím online reklam, může být účinným prostředkem pro jejich zastavení také instalace rozšíření určených k blokování reklam na internetových stránkách.  

Důležité je reagovat v případě nestandardního chování zařízení, jako je zvýšená hlučnost, pokles výkonu či zkrácení provozu na baterii. Je nutné zkontrolovat běžící procesy a ověřit si, že nedochází k nežádoucím aktivitám na pozadí operačního systému. Do detekce cryptojackingu se navíc zapojuje také technologie strojového učení (ML), která zásadně zvyšuje pravděpodobnost odhalení cryptominerů. 

Cryptojackingu v cloudu lze zabránit nastavením přísných pravidel autentizace a kontroly přístupu k instancím cloudových služeb. V případě jakéhokoli podezření na neoprávněné využití cloudových služeb je nutné změnit přístupová hesla. 

Škody způsobené cryptojackingem 

Na rozdíl od dalších typů kybernetických útoků nezpůsobí cryptojacking okamžitou škodu nebo nedostupnost aplikací a služeb jako v případě ransomwaru či útoků typu DDoS. Útočník chce naopak zůstat co nejdéle neodhalen, aby mohl nerušeně těžit kryptoměny. Velmi často nejsou aktivity cryptominerů zaznamenány ani v cloudu, jelikož organizace nemají zcela pod kontrolou své náklady na cloudové služby a zvýšenou spotřebu zprvu připisují jiným oddělením či projektům.  

Google Cybersecurity Action Team uvádí, že 86 procent kompromitovaných instancí služby Google Cloud je využíváno právě pro cryptomining. Stejný zdroj tvrdí, že téměř polovina (48 %) těchto kompromitací pramení z nevhodné práce s hesly a nezabezpečených konfigurací API. Studie společnosti Sysdig z roku 2022 zjistila, že na jeden vytěžený dolar v kryptoměně spotřebovali cryptomineři v průměru 53 dolarů z prostředků svých obětí. 

Cryptojacking představuje kontinuální bezpečnostní hrozbu, která se vyvinula z původně legitimního nástroje v sofistikovanou metodu kybernetické kriminality. Možnost zůstat delší dobu nezpozorován a relativně nízké riziko odhalení činí z cryptojackingu atraktivní volbu pro kyberzločince, kteří mohou získat pasivní příjem z kompromitovaných systémů.