חטיפה וירטואלית: הדור החדש של פשיעת המטבעות הדיגיטליים

הכירו את ה-CryptoJacking: הדרך החדשה של פושעים וירטואליים להרוויח כסף מכוחות העיבוד של מחשבים ביתיים או שרתים תאגידיים, באמצעות החדרת וירוס שכורה מטבעות דיגיטליים ותוך הסתרת פעילותו. הבעיה מאיימת על על חברות גדולות ומשתמשים פרטיים בכל העולם, אך דווקא בנגב עובדים על מחקר שינסה לשים סוף לתופעה

 Koron/ Getty Images Israel

צלם/תמונה: Koron/ Getty Images Israel

מאת בן סמוחה

עולם המטבעות הדיגיטליים נמצא רק בתחילת הדרך לעבר אימוץ המוני על ידי הציבור, ובדומה לכל שוק, תעשייה או טכנולוגיה חדשים, גם המטבעות הדיגיטליים צפויים להתמודד עם מכשולים רבים בדרך. ובכל זאת, גם כעשור לאחר הצגת הביטקוין לעולם, נדמה שלא עובר יום מבלי שניחשף לחדשות (טובות או רעות) הנוגעות בטכנולוגיית הבלוקצ’יין. מחקר חדש שנערך במעבדת הפוגענים (Malware-Lab) במרכז לחקר הגנת הסייבר של אוניברסיטת בן גוריון (CBG), מנסה להתמודד עם אחד המכשולים הללו ולהציל תאגידי ענק מנזקים פיננסיים גדולים מאוד.

האתגרים הראשונים שעולים לראש כשחושבים על עולם הקריפטו הם התייחסות רגולטורית בשלל מדינות, חוויית משתמש ועוד, אך לצד אלה קיים מכשול נוסף שלא תופס את אור הזרקורים: הפשיעה האינטרנטית. התופעה הראשונה שקישרה בין הפשיעה האינטרנטית לביטקוין ויתר המטבעות הייתה נוזקות כופר (Ransomware). האקרים היו יוצרים וירוס שמשתלט על מחשבים פרטיים או מערכות ארגוניות, מצפין את הקבצים המוחזקים בהם ומאלץ את בעליו לשלם כופר בביטקוין או במטבע דיגיטלי אחר. תופעה זו הובילה, על פי הערכות, לסחיטה של מיליוני דולרים ולאיבוד המון נתונים של אלה שסירבו לשלם.

מאמצע השנה שעברה מצאו האקרים דרך חדשה ויעילה יותר לנצל את עולם המטבעות הדיגיטליים לטובתם: נוזקות של כריית מטבעות. כריית ביטקוין ומטבעות דיגיטליים נעשית באמצעות הקצאת כוחות המעבד או הכרטיסים הגרפיים של המחשב לחישובים מתמטיים מסובכים. האקרים פיתחו נוזקה אשר מנצלת את כוחות המחשוב של המחשבים האישיים או של השרתים הארגוניים לטובת כרייה מרחוק של מטבעות דיגיטליים, והתקיפה הזו אפילו קיבלה שם מגניב, “קריפטוג’קינג” (CryptoJacking), שכן מדובר ב”חטיפת” המחשב לטובת כריית קריפטו.

כיום חוקרי אבטחת מידע מכל רחבי העולם מנסים להתמודד עם ההתקפה, אך שדרוגים ועדכונים שהטמיעו האקרים בנוזקות האלה הופכות אותן לקשות מאוד לעצירה. אקדמאים ברחבי העולם סקרו את התופעה והשפעותיה, אך טרם נערך או נודע על מחקר אשר עובד על פתרון רחב היקף לנוזקות הכרייה.

לעקוב אחר הזיכרון

באוקטובר 2017 החל דניאל נחמיאס, מאסטראנט בתכנית המצטיינים “מיתר” באוניברסיטת בן גוריון והחוקר המוביל במחקר, לשלב את מומחיותו ב-Machine and Deep Learning (למידת מכונות) כדי ליצור פתרון שיגן על שרתים בענן (Cloud), כמו אלה של אמזון או גוגל, מנוזקות הכרייה. עם המנחים שלו, ד”ר ניר ניסים (ראש מעבדת הפוגענים) ופרופ’ יובל אלוביץ’ (ראש המרכז לחקר הגנת הסייבר CBG), מתכוון נחמיאס ליצור תוכנה אשר תפקח על זיכרון המכונה הווירטואלית שרצה בענן. בזכות הבינה המלאכותית תוכל התוכנה ללמד את עצמה כיצד להבחין בשינויים בזיכרון המכונה הווירטואלית, ובכך תחסוך משאבים רבים וזמן לחברות הענן.

ד”ר ניר ניסים, ראש מעבדת הפוגענימקור: מעבדת הפוגענים, CBG, אונ’ בן גוריון

המוצר שלקוחות שירותי הענן מקבלים הוא למעשה מכונה וירטואלית מותאמת לדרישותיהם: כאשר לקוח שוכר שטח בענן, הוא דורש הקצבת זיכרון והקצבת כוח עיבוד בהתאם לצורך שלו, ומקבל מכונה תפורה לכך. כיוון שנוזקות הכרייה יודעות להסוות את ניצול כוחות המחשוב שלהן, הבין צוות המחקר שעליו לגשת לבעיה ממקום אחר: הזיכרון. באמצעות התוכנה החכמה תוכל מספקת שירות הענן לעקוב אחר צריכת זיכרון ה-RAM במכונה הווירטואלית ולזהות חריגות אשר יושפעו מנוזקות כרייה. כך תוכל חברה המספקת שירותי ענן לזהות את מוקד הבעיה ולטפל בה בהקדם.

איך זה התחיל?

Coinhive היא חברה לשירותי כרייה שיצאה לשוק עם רעיון די מעניין לבעלי אתרים: הטמעה של מספר מצומצם של שורות קוד באתריהם, אשר יובילו לכריית מטבעות מונרו (מטבע דיגיטלי עם מאפיינים אנונימיים) על מחשבי המשתמשים. המטרה העיקרית הייתה להחליף את הפרסומות באתרים, ולגרום שהמשתמשים “לשלם” על הגלישה בדרך אחרת ומציקה פחות, ו לרוב גם ללא ידיעתם.

האקרים נחשפו לשורות הקוד של קוינהייב די בקלות, ובשלב הראשוני כל שעליהם היה לעשות הוא לשנות את כתובת הארנק אליה נכרים המטבעות לכתובת שברשותם. בשלב הבא כבר היו פורצים לאתר כלשהו באופן חשאי ומטמיעים את שורות הקוד בו. לרוב אף היו מצפינים את שורות הקוד כך שיצטיירו כמשהו סטנדרטי ולא מעלה חשד. עד כמה רחוק זה הגיע? ובכן, בחודש פברואר השנה פורסם דו”ח של חברת Bad-Packets שמדווח על לפחות 35,000 אתרים נגועים, בהם אתריהם של המגזין המוכר “לוס אנג’לס טיימס”, יצרנית הטלפונים בלקברי ואף רשתות ויי-פי פומביות בבתי קפה בארגנטינה.

לא ידוע אם כוונותיהם האמיתיות של יוצרי קוינהייב הייתה להפוך את הרוגלה לכל כך ויראלית ולטובת שימוש זדוני, אך סביר שגם אם אלו לא היו התוכניות המקוריות הם הביאו בחשבון שזה מה שיקרה, שכן הם דאגו מראש, תוך שימוש בקריפטוגרפיה (ענף במתמטיקה העוסק בהצפנה), לכך שאם כתובת הארנק תשונה, עדיין 30% מהמטבעות הנכרים באמצעות שורות הקוד יועברו אליהם. כך נוצר מצב בו לחברה אין שום תמריץ לפעול נגד התופעה – שכן היא מרוויחה ממנה המון. קוינהייב הייתה יריית הפתיחה לתופעת הקריפטוג’קינג, ובעקבותיה הגיעו נוזקות כרייה נוספות ומשודרגות אף יותר.

ההתפשטות: מיליוני מחשבים ניזוקו

שנת 2017 הייתה שנת הפצת “המגפה” ובה נמדד גידול של לא פחות מ-8,500% בכמות המחשבים שניזוקו מנוזקות הכרייה. זה כמובן לא נגמר בכך: דו”ח מעבדה של חברת האבטחה מקאפי (McAfee) שפורסם לאחרונה מלמד על עלייה במספר המחשבים הנגועים בנוזקות מ-400,000 לכ-3,000,000 – בין הרבעון האחרון של 2017 לרבעון השני של 2018 בלבד. סך ההערכות הן שמיליוני מחשבים בכל רחבי העולם ניזוקו מהתקפות אלו עד כה, אך קשה להעריך את סכומי הכסף שהצליחו ההאקרים לכרות עליהם (עקב תנודתיות שוק המטבעות הדיגיטליים ביחס לדולר). מה שבטוח הוא שהתופעה ממשיכה להתפשט: “בהתקפת כופר ההאקרים מתחילים למדוד את רווחיותם אך ורק כאשר הקורבנות משלמים”, אומר נחמיאס, “בקריפטוג’קינג עומת זאת תהליך הפצת הרוגלה הוא זהה, אך הרווחים נכנסים באופן מיידי”.

דניאל נחמיאס. מקור: מעבדת הפוגענים, CBG, אונ’ בן גוריון

לנוזקת הכרייה יש 3 ביטויים עיקריים:

  1. צריכת חשמל גבוהה, לאור התגברות הפעילות של המחשב או השרתים, והעלויות הכרוכות בה.
  2. חוויית השימוש במחשב נפגעת באופן מתוחכם, שמקשה על המשתמשים להבין שגורם זדוני מביא לכך.
  3. בלאי הבלתי סביר: בעקבות הפעילות המוגברת של המחשב, מרכיבי המחשב ההכרחיים, כגון המעבד וכרטיס המסך, יגיעו למיצוי יכולתם בשלב מוקדם יותר.

המטרה הבאה: רשתות תאגידיות ושירותי ענן

חברות אבטחת המידע הגדולות בעולם תמימות דעים: הגרסאות החדשות של נוזקות הכרייה יכוונו גבוה, לעבר רשתות תאגידיות ושירותי ענן. ד”וח של חברת אבטחת המידע ביטדיפנדר מעריך בסבירות של 51% ששרתי התאגידים הם המטרה הבאה, ולאחריהם ייפגעו מכשירי החברה והעובדים בה. מעבדת קספרסקי מחזקת את ההערכה בדו”ח שפרסמה בסוף יולי השנה, שעקב  אחר הנוזקה “PowerGhost” הממשיכה להתפשט ברגעים אלו ברשתות תאגידיות בהודו, ברזיל, קולומביה וטורקיה. הנוזקה, כמתואר בדוח, מסוגלת להסוות עצמה במערכת ולהדביק אף את שרתי החברה ומחשבי העובדים.

מקור: BitDefender

השימוש התאגידי והפרטי בענן לאגירת מידע וגיבויים צובר תאוצה בשנים האחרונות, והצפי הוא שעד סוף שנת 2020 כ-83% ממחלקות טכנולוגיית המידע בתאגידים ובחברות הגדולות יוחזקו בענן. מעבר לכך, רשתות תאגידיות כיום מחזיקות שרתים רבים שיכולים להוות מכרה זהב של ממש עבור נוזקת כריית מטבעות דיגיטליים. לפיכך, זוהי בעיה מהותית מאוד: עבור משתמשים פרטיים צריכת החשמל תחווה שינוי קטן בלבד, אך עבור תאגידים וחברות גדולות מדובר בעלויות גבוהות, ומשך הזמן הדרוש למציאת הבעיה עלול להיות הרסני.

בנוסף, התקפה מוצלחת של קריפטוג’קינג עלולה להעיד כי יש חור אבטחתי במערכות החברה, מה שיכול להוביל להתקפה גדולה אף יותר. לא צריך להסתכל רחוק מדי כדי להבין את ההשלכות הכלכליות הפוטנציאליות: לפני שנה בלבד הייתה זו נוזקת הכופר WannaCry שחדרה באמצעות חור אבטחתי (המוכר כ-EternalBlue) למאגרי נתונים עצומים וגרמה לנזקים בשווי 53 מיליארד דולר לממשלות, תאגידים ואנשים פרטיים בכל רחבי העולם. חלק מהנזקים, אגב, נגרמו כתוצאה מנוזקת הכרייה WannaMine, אשר נעזרה באותו חור אבטחתי ובתשתית נוזקת WannaCry לצורכי ההפצה. המחקר של מעבדת הפוגענים בבן גוריון נמצא בעיצומו של תהליך בניית האלגוריתם עבור התוכנה החכמה, והתקווה היא שבקרוב נזכה לראות את הפתרון יוצא לאור.

הכותב הוא מייסד ומנכ”ל CryptoJungle

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

להגיב

אין תגובות

תגיות לכתבה: