Năm Mà Cryptojacking Ăn Sâu Vào Web

Bảo mật mạng có thể cảm giác như một cuộc đua tự do hỗn loạn đôi khi, nhưng không phải mọi ngày mà một loại tấn công khái niệm hoàn toàn mới xuất hiện. Trong suốt 15 tháng qua, cryptojacking đã chính xác là như vậy. Nó chính thức xuất hiện ở mọi nơi, và nó không biến mất.

Khái niệm của cryptojacking khá đơn giản: Kẻ tấn công tìm cách tận dụng sức mạnh xử lý của các máy tính mà cô ấy không sở hữu—hoặc trả hóa đơn điện cho—để đào tiền điện tử cho bản thân mình. Phần mềm đào tiền độc hại đã tồn tại từ một thời gian, nhưng kẻ tấn công không nhận ra tiềm năng đầy đủ của nó cho đến khi một nhóm mang tên Coinhive tạo ra một mô-đun đào đơn giản vào tháng 9 năm 2017 có thể nhúng vào gần như bất kỳ trang web nào.

Một khi đã có, bất kỳ ai truy cập trang sẽ đóng góp vào việc đào tiền cho chủ sở hữu của mô-đun trong khoảng thời gian họ mở tab. Coinhive đã nói rằng họ dự định sử dụng công cụ để cung cấp một nguồn thu nhập thay thế cho các trang web, nhưng tội phạm nhanh chóng nhận ra rằng họ có thể tìm và lợi dụng các lỗ hổng trong tất cả các loại trang web có lưu lượng lớn để âm thầm cài đặt các mô-đun cryptojacking của họ.

Với tiền điện tử đạt mức cao kỷ lục vào cuối năm 2017 và đầu năm 2018, sự phổ biến của cryptojacking đã bùng nổ. Và từ đó, nó đã phát triển và trưởng thành theo nhiều cách thú vị và đáng sợ. Người đào tiền độc hại đã xuất hiện trên thiết bị di động, trong cơ sở hạ tầng đám mây, trên các thiết bị Internet of Things, và thậm chí là trong cơ sở hạ tầng quan trọng. Và trong khi việc hiến một ít công suất xử lý để đào tiền đôi khi ít tác động đối với nạn nhân, người đào tiền tấn công mạnh mẽ hơn có thể làm trở ngại cho các quy trình của thiết bị bị ảnh hưởng, làm gián đoạn công việc, và thậm chí gây hỏng chúng đến mức hỏng hóc vật lý.

"Khi chúng tôi thực hiện báo cáo đe dọa giữa năm 2018, chúng tôi phát hiện ra rằng cryptojacking chiếm 35 phần trăm trong số mọi đe dọa trên web, và điều đó thật sự là hoàn toàn điên rồ," nói Tyler Moffitt, nhà nghiên cứu đe dọa cấp cao tại công ty bảo mật Webroot. "Đây là một đe dọa mới chỉ xuất hiện vào cuối tháng 9 năm 2017. Ngay cả khi nó giảm xuống 25 phần trăm vào cuối năm, nó vẫn là một lực lượng mà chúng ta cần phải tính đến."

Các cuộc tấn công Cryptojacking thường biến động theo giá trị của tiền điện tử. Nhưng trong khi đợt đầu của cuộc đua vàng Cryptojacking đã giảm bớt một chút, hacker vẫn có thể kiếm tiền từ Cryptojacking vì chi phí vận hành chiến dịch là rất thấp. Ngay cả việc thiết lập cơ sở hạ tầng đào tiền độc hại trong các trang web hoặc hệ thống mục tiêu mà không chạy thực sự cũng có thể mang lại hiệu quả cho hacker, để họ sẵn sàng hành động khi giá trị của tiền điện tử tăng lên.

Ngoài ra, luôn có một số tiền nhất định có thể kiếm được nếu bạn đào tiền từ các nguồn tài nguyên mạnh mẽ như máy chủ đám mây. "Với giá của tiền điện tử giảm chúng tôi thấy điều này có phần giảm bớt, nhưng điều đó không có nghĩa là Cryptojacking biến mất. Nó thực sự trở nên trưởng thành," nói Jérôme Segura, chuyên viên phân tích thông tin độc hại hàng đầu tại công ty phòng thủ mạng Malwarebytes. "Nguy hiểm là nếu bạn có một chương trình đào tiền chạy trong cơ sở hạ tầng quan trọng nơi máy tính được sử dụng cho các nhiệm vụ cụ thể và lập lịch công việc, nó có thể tạo ra không ổn định và gây sự cố và có thể ảnh hưởng đến dịch vụ."

Đầu năm 2018, công ty bảo mật cơ sở hạ tầng quan trọng Radiflow cho biết họ đã phát hiện phần mềm đào mỏ trong mạng công nghệ vận hành của một công ty cung cấp nước ở châu Âu, được sử dụng để giám sát và kiểm soát công nghiệp. Người đào tiền độc hại cũng đã nhắm vào cơ sở hạ tầng đám mây vì sức mạnh xử lý ng raw mạnh mẽ, có thể đe doạ thời gian hoạt động của các dịch vụ quan trọng. Ví dụ, công ty giám sát và phòng thủ đám mây RedLock cho biết vào tháng 2 rằng cơ sở hạ tầng đám mây của Amazon Web Services của Tesla đang chạy phần mềm đào mỏ nhờ vào một chiến dịch Cryptojacking tinh tế nhưng rộng lớn.

Trình duyệt và các công cụ quét malware đã ngày càng cải thiện khả năng phòng ngự của họ trước Cryptojacking, nhưng kỹ thuật này đã phát triển để đối phó với những bảo vệ này. Như các loại tấn công khác, nếu đủ hệ thống phòng ngự bắt đầu phát hiện mã đào tiền của họ, hacker có thể thậm chí cuối cùng bắt đầu làm mờ mã đào của họ khi nó trở nên rõ ràng. Cryptojacking cũng đã lây lan bằng cách lợi dụng các thiết bị Internet of Things không an toàn và thường không được giám sát. Cryptojacking hoạt động trên tất cả các loại thiết bị IoT—thậm chí đã có bằng chứng thực tế rằng người đào tiền có thể chạy trên các máy chơi game Xbox và PlayStation.

Tháng 8, công ty bảo mật TrustWave tiết lộ một chiến dịch cryptojacking khổng lồ mà họ đã phát hiện trong các router của nhà sản xuất Latvia, MikroTik. Cuộc tấn công lợi dụng một lỗ hổng để lây nhiễm 72,000 router ban đầu tại Brazil, sau đó lan ra hơn 200,000 đơn vị dễ bị tổn thương. MikroTik đã vá lỗ hổng vào tháng 4, nhưng nhiều thiết bị không nhận được cập nhật, một vấn đề phổ biến trong an ninh IoT.

"Đó là một ý tưởng tuyệt vời," Segura của Malwarebytes nói. "Bằng cách tiêm vào router một kịch bản crypojacking, bạn đang đe dọa bất kỳ thiết bị nào đằng sau router đó kết nối với nó để truy cập internet. Mọi trang web mà nạn nhân truy cập trên mọi thiết bị trên Wi-Fi đều bị chiếm đoạt, vì nó xảy ra ở cấp độ router. Vì vậy, có một sự mở rộng quy mô mà thực sự có ý nghĩa đối với một kẻ tấn công. Nếu họ tấn công một router tại một trường học hoặc thư viện, họ có thể có hàng trăm máy đằng sau nó."

Mặc dù các kế hoạch cryptojacking trở nên tinh vi hơn, kẻ tấn công vẫn quay trở lại nguồn gốc của họ, chiếm đoạt các trang web có uy tín cao khi cơ hội xuất hiện. Ngay tháng trước, cryptojackers đã tiêm vào trang web của tổ chức Make-A-Wish Foundation thông qua hệ thống quản lý nội dung của nó, một loại khung web mà hacker thường xuyên nhắm đến với các kịch bản cryptojacking. Và cryptojackers đã học cách thêm cryptojacking vào nhiều cuộc tấn công web cổ điển—thêm các máy đào độc hại vào các trang web lừa đảo hoặc gói chúng vào các tải xuống malware khác.

Điều quan trọng về cryptojacking là nó rất dễ thực hiện so với các loại tấn công khác. "Đối với kẻ tấn công, điều đó không tốn kém gì cả," Moffitt của Webroot nói. "Vì vậy, nó luôn mang lại lợi nhuận."

Theo cách đó, cryptojacking hấp dẫn các kẻ tấn công dù họ đang tìm kiếm cơ hội kiếm nhanh hay đang chơi một trò dài hạn. Với nhiều tiềm năng còn lại, nó không bao giờ biến mất sớm.

• “Sách tương lai” đã đến, nhưng nó không phải là điều chúng ta mong đợi
• Alexa lớn lên trong năm nay, chủ yếu là do chúng ta đã nói chuyện với nó
• Sự vụ tranh giành điên đảo vì thiên thạch quý giá nhất thế giới
• Galileo, krypton, và cách chiếc mét thực sự ra đời
• Động cơ đã đưa ra cuộc cách mạng CGI
• 👀 Đang tìm kiếm các thiết bị công nghệ mới nhất? Hãy xem các lựa chọn, hướng dẫn mua sắm, và các ưu đãi tốt nhất suốt cả năm của chúng tôi
• 📩 Nhận thêm nhiều thông tin cực kỳ quan trọng từ bản tin hàng tuần Backchannel của chúng tôi