הצד השני של המטבע: כך תקפו האקרים את קהילת כורי האתריום

לפני כחודש וחצי תקפו האקרים את קהילת כורי האתריום, והשתמשו במנגנון ה-LHR של NVIDIA ככלי שרת למתקפת Community Phishing. המתקפה הייתה עלולה להיות עוצמתית וכואבת, אלמלא תושיית הקהילה

המתקפה הייתה בנויה מאוסף של כלים זדוניים זמינים וקלים לשימוש (צילום: Dreamstime)

מאת מאור חיזקיאב, Sr. Director, Software Engineering, דאטו

ב-22 בפברואר האחרון פורסמה ידיעה בדבר יכולת חדשה העוקפת את מנגנון ה-LHR של חברת אנבידיה (NVIDIA), המיועד להגבלת היכולת לכרות אתריום בכרטיסי המסך של החברה. הידיעה הופצה במהירות במספר פלטפורמות, בהן רדיט וערוצי טלגרם, וסביר להניח שהגיעה לרוב בעלי העניין מקהילת כורי האתריום. בתוך זמן קצר התגלתה הידיעה כפייק, שכן כל מטרתה הייתה לגרום לקהילת הכורים להתקין נוזקה הגונבת ארנקים דיגיטליים ומידע ממחשב הקורבן.

המתקפה מדגימה שימוש אפקטיבי בפישינג קהילתי (Community phishing): היא הגדירה את כורי האתריום כיעד התקיפה, שבהיתכנות גבוהה מחזיק בארנק דיגיטלי, ומנגד משתמשת בצורך מובהק של אותו יעד למעקף הגבלת ה-LHR במטרה לנצל את משאבי הכרטיס הגרפי לכרייה מהירה ורווחית יותר.

המתקפה הצליחה בזכות אוסף של כלים זדוניים זמינים וקלים לשימוש, וזאת דוגמה לקלות שבה ניתן ליצור תוכנות זדוניות מתוחכמות העוקפות שכבות אבטחה מרובות. במקרה הזה התוקפים השתמשו בכלים PureCrypter ו-PurgeStealer כדי להרכיב תוכנה זדונית של גניבת מידע. כלים אלה מקנים יכולות התחמקות ממוצרי אבטחה וזמן חיים ממושך באמצעות שיטות למניעת הנדסה לאחור, כל זאת לצד איסוף מידע מגוון העובר דרך gofile.io ו-Discord ישירות לידי התוקף מבלי לעורר חשד.

מצע פורה לתקיפה

מטבעות קריפטו הפכו פופולריים בעשור האחרון, אך גם יצרו דרך חדשה לביצוע עסקאות אנונימיות ולעתים לא חוקיות. מכיוון שמטבעות קריפטוגרפיים הם מבוזרים מטבעם, לכל עסקה נדרש אימות, והתהליך נעשה באמצעות אלגוריתם ייעודי שהפעלתו מצריכה משאבי מחשוב רבים.

במהלך 2020 השיקה אנבידיה את סדרת הכרטיסים הגרפיים השולחניים שלה, GeForce 30xx, הכוללת את פיצ'ר ה-RTX המזוהה ביותר עם הסדרה. גיימרים וכורי קריפטו השתמשו בו ויצרו ביקוש אדיר לעומת היצע מוגבל, עד שבמאי 2021 השיקה החברה את מנגנון Lite Hash Rateי(LHR) שמגביל את קצב הכרייה ומייעד את המוצר למשחקים בלבד. הסיבה לכך היא ככל הנראה עסקית, אם נביא בחשבון את השקת סדרת CMP לכורי קריפטו ואת הצהרת החברה שתשיב את מוצרי GeForce לידי הגיימרים, שנשארו ללא מלאי.

ב-23 בפברואר פרסמו התוקפים את התוכנה הזדונית תחת השם Nvidia LHR v2 Unlocker, שנועדה לדבריהם לעקוף את אותו מנגנון ובכך סימנו כמטרה את קהילת כורי האתריום. מקביל, אתרי חדשות טק רבים פרסמו מאמרים בדבר היכולת החדשה שתאפשר לכרות אתריום ביעילות על גבי הכרטיסים הגרפיים שעד כה מנעו זאת, מה שעזר לתוקפים להפיץ את התוכנה הזדונית שלהם. אולם, ערנותם של חברי הקהילה עצרה את המתקפה, וזמן קצר לאחר מכן ערוצי התקשורת עדכנו את הידיעות ואישרו כי מדובר בתוכנה זדונית.

התוכנה הזדונית כוונה לארנקים של כורים ולכל תוכנה או מידע שעשוי להימצא במחשבים של כורי אתריום. היא אספה גם נתונים אחרים, כגון נתוני דפדפן (סיסמאות, היסטוריה וקבצי Cookie), במטרה לגשת למקורות פיננסיים ולחדור לשירותים אישיים של הקורבנות.

ציר הזמן של התקיפה

התקיפה הייתה מהירה ונפסקה לאחר כמה שעות, ללא סיבה נראית לעין. אולי התוקף נתקל בתקלה, אולי פחד להיתפס. לא משנה מה הייתה הסיבה, העובדה שקהל היעד של הנוזקה היה מודע לאיומים קיצר את חייו של הקמפיין.

מבט בציר הזמן של האירועים מגלה את המהירות שבה התוקף התחיל את הקמפיין באמצעות הכלי PurgeStealer. הדבר מעלה את השאלה: האם התוקף תכנן את התקיפה, או שעצם עליית הכלי לשימוש חופשי דרבנה אותו ליצור את הקמפיין? צירוף מקרים נוסף הקשור ל-NVIDIA LHR, אך אינו חלק ממתקפה זו, התרחש כשקבוצת Lapsus$ פרצה לשרתי החברה וגנבה קניין רוחני מסווג על מוצריה. באמצעות הקניין הרוחני הזה ונתונים פרטיים אחרים, הקבוצה פרצה את מנגנון ה-LHR ואף ניסתה למכור אותו תמורת מיליון דולר.

  • T1566 – המתקפה מתחילה בפישינג קהילתי, כשהתוקף יוצר מצג שווא של פריט רצוי או מסקרן ומבקש מהמשתמשים להשתמש בו.
  • T1059.001 – תהליך ההתקנה מריץ Powershell למעקף דפנדר (מוצר אבטחה מבית מיקרוסופט).
  • T1620 – ה-Dropper הראשון משתמש בטעינת קוד רפלקטיבית כדי לבצע מתקפה במרחב הזיכרון על מנת להימנע מכתיבה לדיסק. זאת אחת השיטות המוצלחת להתחמקות ממוצרי אבטחה מסוימים.
  • T1218.009 – ה-Dropper השני היה מעומעם (Obfuscated) ויישם טכניקות נגד ניפוי באגים, נגד הנדסה לאחור והתחמקות ממוצרי אבטחה. בסופו של דבר הוא השתמש ב-RegAsm.exe כפרוקסי כדי להפעיל את התוכנה הזדונית של גניבת המידע.
  • T1567.002 – התוכנה הזדונית ניצלה את שירותי האחסון Gofile.io כדי להעביר את הנתונים הגנובים בלי להסתכן בגילוי על ידי מוצרי אבטחה לניטור רשת.
  • המטרה העיקרית של האקרים במקרה הזה הייתה הארנקים הדיגיטליים, ולכן המתקפה הסתיימה בגניבת כסף ומידע.

פישינג – לא רק במייל

התוקפים עשו חיבור שהגביר את יעילות המתקפה: הקורבנות הם גם הבעלים של אותם כרטיסים גרפיים של אנבידיה, וגם אנשים המעוניינים בכריית אתריום. צירוף הנתונים הזה מרחיב את בנק המטרות של התוקף מעבר לגניבת מידע: כרייה על חשבון הקורבן, או התבססות על חומרה מסוימת וניצול חולשה באותה חומרה, מה שיאפשר גישה מתמשכת לתקיפות נוספות.

מתקפה זו מעניינת במיוחד בשל הקלות שבה היא נוצרה ויצאה לפועל. המסקנה הבלתי נמנעת היא שכל אחד יכול ליצור תוכנות זדוניות באמצעות כלים זדוניים זמינים, יעילים ופשוטים. בזכות האנונימיות של מטבעות הקריפטו, פורעי חוק יכולים לרכוש את כלי ההתקפה הללו בקלות ובסיכון מינימלי.

פישיניג היא הטכניקה השכיחה ביותר להפצת תוכנות זדוניות, ובמקרה הזה ניתן לראות שישנן עוד דרכים לבצע אותה מלבד פישיניג מסורתי באימייל. זה מזכיר לנו כי אסור לסמוך לעולם על קובץ שנשלח אליכם מבלי שביקשתם, וצריך תמיד להטיל ספק במקורו. אם זה נראה טוב מדי, תתחילו לחשוד.

הכתבה בחסות Datto Holding Corp

חברת Datto Holding Corp האמריקאית הינה שחקנית גלובלית מובילה בשוק שירותי התכנה ל Managed Service Providers (MSPs) ולעסקים קטנים ובינוניים.
דאטו היא הספקית הגדולה בעולם לפתרונות ענן ואבטחת המידע המיועדים ל- MSPs. החברה מעסיקה יותר מ 2,000 עובדים במעל 20 סניפים ברחבי העולם, והיא משרתת כ 17,000 שותפים ומיליוני לקוחות קצה. החברה זכתה בפרסים רבים על פועלה, מוצריה וצמיחתה המהירה.
במרץ 2021 רכשה דאטו את חברת אבטחת המידע הישראלית ביטדאם, אשר מהווה את מרכז הסייבר של החברה הגלובלית, במטרה להרחיב ולהעמיק את פועלה בתחום הסייבר. כיום החברה מגייסת עובדים למרכז הפיתוח הנמצא בתל אביב - לחצו כאן לצפיה במשרות.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה על "הצד השני של המטבע: כך תקפו האקרים את קהילת כורי האתריום"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אייפוניסט
Guest

בלינוקס זה לא היה קורה (לפחות החלק של מעקף ל-defender) 😃

wpDiscuz

תגיות לכתבה: