Криптоджекинг набирает обороты и становится по-настоящему опасным

Рост такого явления, как криптоджекинг, когда при посещении заражённого сайта компьютер или мобильное устройство используются для скрытого майнинга криптовалют, подогрел интерес к майнингу как таковому. Но теперь преступники, расширяя свои возможности по эксплуатации чужих устройств, вычислительных мощностей и электроэнергии, добрались до мест, где их присутствие чревато крайне серьёзными последствиями.

На прошлой неделе компания Radiflow, занимающаяся защитой ключевых инфраструктур жизнеобеспечения, объявила, что выявила вредоносное ПО для майнинга в сети, осуществляющей мониторинг и контроль водоснабжения в Европе. Это первый известный случай использования вредоносного ПО в промышленной системе управления.

Radiflow ещё не установила точно, к каким последствиям привела атака, но называет их значительными. Эксперты отмечают, что вредоносное ПО было встроено в корневую структуру компьютеров и использовало такой объём вычислительных мощностей, который позволял майнить Monero, не перегружая систему и не создавая очевидных проблем. Майнер распознавал работу сканеров безопасности и других защитных механизмов и препятствовал ей. Подобные атаки увеличивают загрузку процессора и сети, что приводит к замедлению работы приложений промышленного контроля и даже к полному её прекращению. Естественно, это мешает оператору должным образом контролировать работу предприятия.

Марко Кардаччи, консультант фирмы RedTeam Security, специализирующейся на промышленном контроле, комментирует:

Я осведомлён об опасности майнеров, встраиваемых в системы промышленного контроля, хотя никогда не сталкивался с ними в реальности. Наибольшую озабоченность вызывает тот факт, что подобные системы требуют высокой степени доступности процессора и любое воздействие извне может привести к опасным сбоям.

Руководитель Radiflow Айлан Барда отметил, что компания не рассчитывала обнаружить майнер, устанавливая продукты, позволяющие обнаружить проникновение, особенно во внутренней сети, которая обычно не открыта для интернета. Барда сказал:

Внутренняя сеть имела ограниченный доступ к интернету с целью удалённого мониторинга, и вдруг мы увидели, как некоторые сервера начали связываться с многочисленными внешними IP-адресами. Я не думаю, что это была целевая атака: атакующие просто пытались найти свободные вычислительные мощности, которыми смогли бы воспользоваться в своих целях.

Промышленные предприятия представляют большой соблазн для майнеров-преступников. Многие из таких предприятий не задействуют серьёзные вычислительные мощности для базовых операций, но потребляют большие объёмы электричества, благодаря чему программному обеспечению для скрытого майнинга относительно легко маскировать использование процессоров и потребление энергии. Во внутренних сетях промышленных предприятий часто используется устаревшее ПО, поскольку установка новых операционных систем или обновлений может дестабилизировать действующие платформы. Однако эти сети, как правило, лишены доступа к публичному интернету, и файерволы, жёсткий контроль доступа и воздушные зазоры обеспечивают достаточную защиту. Тем не менее специалисты в сфере безопасности, занимающиеся промышленным контролем, предупреждают, что защита многих систем всё же несовершенна.

Кардаччи говорит:

Например, я видел много сетей с плохой конфигурацией, которые якобы имели воздушные зазоры, хотя на деле было не так. Я не говорю, что воздушных зазоров нет, но ошибки в конфигурации случаются довольно часто. Я отчётливо видел, как вредоносное ПО проникает, несмотря на средства защиты.

Поскольку речь идёт о значительных ресурсах в виде неиспользуемых вычислительных возможностей, то хакеры, стремящиеся завладеть ими (зачастую с помощью автоматизированных инструментов сканирования), будут рады воспользоваться уязвимостями, если они дают доступ к процессору. Технические специалисты, имеющие доступ к ресурсам, также могут поддаться соблазну. Так, на прошлой неделе СМИ рассказали о группе российских учёных, арестованных по обвинению в том, что с помощью сверхмощного компьютера в секретном исследовательском центре ядерного оружия они майнили биткоины.

Ведущий аналитик вредоносного ПО в компании по защите сетевой безопасности Malwarebytes Жером Сегура говорит:

Криптовалютное безумие охватило мир. Оно изменило динамику многих явлений. Большая часть ПО, которое мы отслеживали, недавно начала заниматься майнингом — либо посредством отдельных модулей, либо меняя всю систему. Вместо того чтобы красть реквизиты доступа или вымогать деньги, теперь ПО занимается майнингом.

Хотя встраиваемый в браузер майнинг стал широко распространяться лишь в конце 2017 года, само по себе вредоносное ПО для майнинга не ново. И случаи таких атак множатся. Например, в конце прошлой недели хакеры взломали популярный веб-плагин Browsealoud, что позволило им «украсть» вычислительные мощности пользователей тысяч веб-сайтов, включая те, что принадлежат американским федеральным судам и национальной системе здравоохранения Великобритании. Традиционные майнинг-атаки происходят по той же схеме, что и инцидент с Browsealoud. Но чем больше растут цены на криптовалюты, тем изощрённее становятся методы атакующих.

По словам Барды, майнинг-ПО, заразившее завод по очистке воды, распространялось внутри системы не прямолинейно, а переходило со связанного с интернетом сервера дистанционного мониторинга на другие сервера, которые не могли быть взломаны напрямую. Барда говорит:

Вирусу достаточно найти одно уязвимое место, даже на время, чтобы начать экспансию.

Наблюдатели считают, что пока рано судить о том, насколько широко распространится криптовалютный взлом, особенно учитывая волатильность криптовалют. Но они полагают, что обнаружение такого ПО в критически важной инфраструктуре — тревожный знак. Хотя подобное ПО не создано для того, чтобы создавать экзистенциальную угрозу, точно так же, как паразит не желает убивать своего носителя, оно тем не менее со временем приводит к износу процессоров. Известны случаи, когда агрессивное ПО для майнинга становилось причиной физического повреждения заражённых смартфонов.

Кроме того, теоретически возможно, что атакующий, цели которого более зловещи, чем получение лёгких денег, сумеет с помощью майнингового ПО разрушить системы контроля критически важных инфраструктур.

Сегура говорит:

Мы наблюдали, когда в случае таких вирусов-вымогателей, как NotPetya, подобное ПО использовалось как отвлекающий манёвр для более опасных атак. Фактически цель состояла в том, чтобы запустить нечто, вызывающее физические разрушения (как было со Stuxnet). Полномасштабная работа майнеров может вызвать физические повреждения.

Атака с катастрофическими последствиями остаётся гипотетической. Возможно, в ней нет особого смысла. Но эксперты призывают промышленные предприятия регулярно проводить аудит и улучшать системы защиты, заботясь о том, чтобы внутренние сети были выстроены правильно, не содержали ошибок в конфигурации или изъянов, которыми могут воспользоваться преступники.

Джонатан Поллет, основатель фирмы Red Tiger Security, консультирующей по вопросам кибербезопасности клиентов из сектора тяжёлой промышленности (работников электростанций и предприятий по обработке природного газа), говорит:

Многие из этих систем не защищены новейшими обновлениями. Кроме того, они обязаны функционировать в режиме нон-стоп, что затрудняет их восстановление после атак майнинг-вирусов, вирусов-вымогателей и другого вредоносного ПО. Я надеюсь, что всё это заставит ответственных лиц осознать необходимость срочно принять меры.

По материалам Wired

Хотите больше новостей? Facebook. Быстрее всех? Telegram и Twitter. Подписывайтесь!