Cryptojacking: taškařice značící závažnější problémy

21.12.2018

Jedna z nejrychleji rozvíjejících se malwarových hrozeb postihla v posledních osmnácti měsících masivní množství firem, a většina z nich o tom ani neví. Řeč je o hrozbě zvané cryptojacking, za jejíž oblíbenost může především dramatický nárůst na ceně Bitcoinu, potažmo jiných kryptoměn, z konce roku 2017. Většina obětí cryptojackingu si infekce vlastního systému není vědoma, protože její působení není pro uživatele disruptivní – malware pouze krade výpočetní výkon vašeho CPU procesoru a elektřinu na něj vynaloženou.

 

 

Základy těžby kryptoměn

K pochopení fungování cryptojackingu není třeba vysvětlovat příliš, stačí představit základy těžby kryptoměn. Těžba většiny kryptoměn zahrnuje mnoho dobrovolníků z celého světa, kteří se snaží vyřešit specifický matematický problém, náročný na výpočetní sílu, výměnou za odměnu pro nejrychlejšího z nich. Výsledek se zapíše do sdílené databáze transakcí, čili je rozeslán všem účastníkům, a „minihra“ začíná znova. U Bitcoinu trvá každá z těchto miniher v průměru 10 minut. Veřejná ověřitelnost platnosti a vzájemná návaznost výsledků zajišťují automatizovanou verifikaci v systému provedených transakcí, pročež už není zapotřebí dalšího ověřování jejich platnosti jakoukoli autoritativní institucí typu banky. Celému procesu se říká Proof-of-Work (PoW) a jedná se o účinné řešení double-spend problému, inherentního všem digitálním měnám, a o jeden z nejhodnotnějších přínosů blockchainové technologie.

K těžbě většiny kryptoměn včetně Bitcoinu se dnes využívá hardware k tomu optimalizovaný, schopný násobně rychlejšího řešení daného problému než normální počítačové procesory, a přitom nevhodný k téměř čemukoli jinému. Říká se jim ASIC čipy neboli integrované obvody pro specifické aplikace.

Existuje ale také řada kryptoměn, které k vlastnímu těžení vyžadují výpočet matematických problémů navržených tak, aby byly odolné vůči známým druhům ASIC čipů a aby byly pro jejich výpočet efektivnější spíše běžně dostupné GPU čili grafické karty (a okrajově CPU). Důvodem k tomuto kroku je široká, celosvětová dostupnost GPU oproti ASIC čipům, kterýchžto výroba je zatím ovládaná jen velmi malou, převážně čínskou skupinou společností, s měsíce dlouhými dodacími lhůtami. Vývojáři se tak snaží proces těžení (ověřování transakcí) zpřístupnit co největšímu počtu zájemců a snížit pravděpodobnost ovládnutí více než 51% výkonu sítě malým počtem silných hráčů, kteří by v takovémto případě mohli zneužít již zmiňované double-spend problematiky, tedy vracet si již utracené peníze zpět do peněženky, čímž by, krom de facto kradení, diskreditovali použitelnost napadené kryptoměny. Tyto 51% útoky na menší PoW kryptoměny jsou čím dál častější.

 

Coinhive aneb alternativní monetizace webového obsahu?

Nechtěným důsledkem optimalizace těžby na běžné GPU a CPU procesory je fenomén cryptojackingu. Mazaní vývojáři totiž vymysleli způsob, jak matematický úkol, jehož řešení je podstatou těžení, rozdělit na mnoho malých částí a zadat je k výpočtu tisícům CPU procesorů na uživatelských počítačích prostřednictvím aplikací pro Windows či Linux anebo přes JavaScript kód běžící v uživatelově prohlížeči, spuštěný prohlíženou stránkou. Nejznámější a nejrozšířenější implementací těžení kryptoměn přes internetové prohlížeče se stala aplikace Coinhive, jež se zaměřuje na těžbu kryptoměny s názvem Monero.

Ne všude, kde narazíte na kód Coinhive či podobné služby, se ale děje něco nekalého – využívání aplikace na webových stránkách může být i zcela transparentním a legitimním, byť marginálním způsobem monetizace obsahu – vyzkoušel si jej například i oblíbený americký magazín Salon.com. Ten krom prohlížení se subskripcí bez reklam a prohlížení zdarma, ale s reklamami, nabízel i třetí možnost, a to prohlížení bez reklamy za cenu chvilkového těžení vlastním počítačem. Coinhive skriptu využívá i známý pirátský portál thepiratebay.org.

Realita je taková, že i stránky se stotisícovou denní návštěvností si přes Coinhive a podobné služby vydělají jen pár korun. I Salon.com monetizaci pomocí těžení kryptoměn ukončil. Dvakrát lukrativní pak není ani budování a správa botnetů s infikovanými stránkami a uživatelskými počítači. Na vině je jednak propad drtivé většiny kryptoměn na ceně od loňského roku o dobrých 90 %, jednak a především relativní nevhodnost uživatelských CPU k těžení kryptoměn v porovnání nejen s ASIC čipy, nýbrž i s GPU kartami, které zase ale nejde aktivovat přes JavaScript, tudíž ani přes webový prohlížeč a nejde je tedy zatím zneužít ke cryptojackingu.

Jednoduše řečeno, těžení přes prohlížeč nabízí jen málo muziky za hodně peněz. To sice odradí většinu zájemců o legitimní použití, i některé hackery, stále se ale najde dost webových stránek a uživatelských počítačů infikovaných upraveným Coinhive skriptem, které pro hackery nezištně těží za pomoci cizích strojů a ukradené elektřiny, i když jen po malých částkách.

Přístup do vašeho systému hackeři získávají osvědčenými infiltračními technikami typu phishing a man-in-the-middle. Ty důmyslnější varianty cryptojacking malwaru jsou nastaveny tak, aby se spouštěly jen tehdy, když je uživatel neaktivní, případně, aby nekradly více než 20 % CPU, aby bylo těžší je odhalit. Vinu za lehké zpomalení či chvilkovou vytíženost procesoru většina uživatelů pravděpodobně svalí na nejnovější OS aktualizaci, příliš otevřených oken v prohlížeči či na stárnoucí hardware.

 

Skrytá hrozba

Je tedy těžké jej odhalit, a na kvalitě vaší interakce s počítačem se nejspíš téměř nepodepíše – proč se tedy o cryptojacking malwaru vůbec bavíme? Protože s sebou do infikovaných systémů zpravidla vodí i své zákeřnější příbuzné, jako třeba ransomware. Na infikovaných stránkách a v odkazech phisingových emailů dnes často čekají oba malwary spolu s kouskem kódu, který nejdříve zkontroluje stav dalšího zabezpečení vašeho stroje a následně určí, který malware bude výhodnější spustit.

Z využívání stejného vektoru útoku ransomware a cryptojacking malwary ale vyplývá i dobrá zpráva, a totiž že se před obojím můžete chránit prakticky totožně:

  • Vzdělávejte uživatele o nejčastějších vektorech malwarových útoků
  • Zrušte výchozí nastavení v prohlížečích a znemožněte webům spouštění JavaScriptu
  • Nainstalujte si koncový AV software, který si poradí s nejběžnějšími hrozbami, a udržujte jej aktualizovaný
  • Nasaďte kybernetickou ochranu na bázi umělé inteligence, jako je Acronis Active Protection, která okamžitě rozpozná a zastaví ransomware i cryptojacking útoky – a to i útoky využívající zero-day exploitů, proti kterým jsou klasické antiviry bezbranné – dřív než se ve vašem systému stihnou uhnízdit.

 

Závěrem

Cryptojacking samotný tedy není nic, čeho byste se měli přespříliš obávat. Rozšířenost fenoménu ale jednoznačně poukazuje na fakt, že pořád existuje mnoho koncových uživatelů a společností, které nevyužívají základní bezpečnostní opatření, ani moderní a funkční řešení typu Acronis Active Protection.

Nenechte si zkazit Vánoce a vyzkoušejte jeden z našich produktů, které Acronis Active Protection obsahují, anebo si aspoň stáhněte samostatnou aplikaci Acronis Ransomware Protection zdarma.