כריית מטבעות בענן - איום חשאי על ארגונים

אחד מפשעי הסייבר שעוברים בדרך כלל "מתחת לרדאר" הם כריית מטבעות קריפטו בחשאי, מבלי שהקורבן מודע לזה ותוך ניצול משאבי המחשוב של הארגון. עד לשנים האחרונות רוב פעילות הכרייה הבלתי חוקית התבצעו על ידי התקנת רושעה על מחשבים ושרתים פיזיים בארגון, אולם לאחרונה נודע על עוד ועוד מקרים שבהם פושעי סייבר מצליחים לנצל את תשתיות הענן של הארגון לצורכי כריה. מקרה כזה, שנחשף ממש לאחרונה, מראה עד כמה פעילות כזו יכולה להיות רווחית עבור הפושעים וכמה קשה לאתר ולסכל אותה.  

בינואר 2024, המשטרה האוקראינית עצרה אדם מהעיר מיקולאיב, שעל פי החשד כרה באופן בלתי חוקי מטבעות קריפטוגרפיים בשווי של למעלה מ-2 מיליון דולר במהלך השנתיים האחרונות. המעצר היה תוצאה של חקירה ממושכת שבה היו מעורבים המשטרה המקומית והיורופול, וגם ספקית שירותי ענן גלובלית. 

שנה קודם לכן, אותו ספק ענן פנה ליורופול עם מידע לגבי חשבונות משתמשי ענן שנפגעו. יורופול שיתף את המידע עם רשויות החוק באוקראינה שפתחו בחקירה, במהלכה התגלה כי שנתיים קודם לכן, ההאקר השתמש במתקפת Brute Force כדי לפרוץ ל-1,500 חשבונות משתמש, ולאחר מכן השתמש בחשבונות אלו כדי לקבל גישה להרשאות ניהול, שנעשה בהם שימוש ליצור יותר ממיליון מכונות וירטואליות, שכל אחד מהם משמש להפעלת רושעה לכריית מטבעות קריפטו.

Cryptominer הינה תוכנה זדונית המנצלת משאבי מחשוב ענן כדי לכרות מטבעות קריפטוגרפיים ללא ידיעתו או הסכמתו של בעל הענן. ההערכה היא שבהפעלת פעילות ההצפנה הזו הוא הרוויח כ-2 מיליון דולר ארה"ב. מה שמדהים הוא שלקח לספקית הענן כמעט שנתיים לזהות את הפעילות הזדונית הזו ואז עוד שנה לרשויות אכיפת החוק לחקור ולתפוס אותו. בהתחשב באופי החשאי של פעילות זו, והויזיביליות הנמוכה של שירותי הענן על ידי רוב הארגונים שמשתמשים בהם, בוודאי יש הרבה יותר פעילויות כרייה בלתי חוקיות בענן שמתרחשות ברגע זה ממש. במקביל-כמובן שמתקיימות גם פעולות כרייה חוקיות. כורי קריפטו יכולים להפעיל תוכנות כרייה על גבי מחשבים פיזיים (ואז העלות העיקרית שלהם היא צריכת חשמל אדירה) או בענן (ואז העלות שלהם היא צריכת משאבי ענן)- אולם לעיתים עלויות הכריה גבוהות מהרווחים שיפיקו. לכן נוצר תמריץ לכרות באופן לא חוקי (כלומר- שמישהו אחר משלם את חשבונות החשמל או הענן).  

מעת לעת צצים סיפורים על חברות ואנשים פרטיים שחויבו בסכומים אדירים על שימוש בענן שהם אפילו לא היו מודעים אליו. לעתים קרובות, זו תוצאה של חטיפת משאבי ענן לצורך קריפטומיינג, כמו במקרה של חברת טכנולוגיה ממיזורי שחויבה ב-760,000 דולר לאחר שהאקרים איראנים פרצו לחשבון Microsoft Azure שלה, או מנהל מערכת אנונימי שהתוודה ב-Reddit כי קודמו הדביק את מערכות החברות ותשתיות הענן בכורה קריפטו לפני עזיבתו, והתוכנה הזדונית הזו עלתה לחברה הון בתשלומים לספק הענן.

מדוע האקרים מעתיקים את תשומת הלב שלהם בכרייה בענן? ובכן, נכון להיום אחוז פעולות הכרייה על בסיס ענן קטן יחסית, בטח בשהשוואה לפעולות כרייה רחבות היקף שמתבצעות על ידי הדבקה סיטונאית של רשתות מחשבים (בוטנט). אבל עם יכולות זיהוי משופרות של מערכות הגנה מקומיות, ועם העובדה שעוד ועוד חברות מעבירות פעילות לענן (וגם הגברת המוטיבציה בשל המחיר העולה של מטבעות קריפטוגרפיים) זה רק סביר שיותר האקרים יתקפו סביבות ענן שהן פחות מנוטרות. כלומר- עד שהחשבון יוגש.

אבל האם חשבון ענן יקר בטירוף הוא ההשלכה השלילית היחידה של כריית קריפטו בענן? לא.

הרצה של תוכנות זדוניות בענן מוסיפה פרצות אבטחה, מה שעלול לאפשר לתוקפים לקבל גישה לא מורשית לנתונים רגישים (אחרי הכל- הם כבר קיבלו גישה לענן) או לסכן היבטים אחרים של תשתית הענן.

זה עשוי לשמש גם כהסחת דעת לצוותי אבטחה, ולהסיט את תשומת לבם מאיומי אבטחה קריטיים אחרים. יתרה מכך, לאחר שחדרו לתשתית הענן, ההאקרים יכולים להחליף את תוכנת הכרייה בסוג אחר של תוכנות זדוניות הרסניות יותר, שיכולות להצפין או לגנוב נתונים או אפילו למחוק אותם לחלוטין- ובכך לגרום לנזק מסדר גודל שונה לגמרי.

זיהוי תוכנות זדוניות cryptomining בענן יכול להיות מאתגר, מכיוון שלעתים קרובות הן פועלות בחשאיות כדי למנוע זיהוי. ניטור קבוע של שימוש במשאבים וחשבונות יזהה בסופו של דבר פעילויות כרייה חריגות, אלא אם כן ההאקרים ערניים במיוחד ומבצעים פעולות כרייה איטיות במיוחד. אבל עבור רוב הארגונים, גישה פרואקטיבית יותר המבוססת על מניעה משופרת (כגון הטמעת בקרות גישה חזקות, הבטחת תצורות מאובטחות ועדכונים קבועים של התוכנות המורצות בענן), וניטור אקטיבי של סביבות ענן כדי לזהות התנהגות חריגה ודפוסי שימוש במשאבים ישיגו זאת מהר יותר ולאפשר להסיר את האיום החמקן הזה מהענן שלו.