Uwaga! na koparki kryptowalut

Cryptojacking to nieautoryzowane użycie czyjegoś komputera do kopania kryptowaluty. Hakerzy robią to albo przez skłonienie ofiary do kliknięcia zawirusowanego linku otrzymanego np. w e-mailu czy na komunikatorze internetowym, albo poprzez zainfekowanie strony WWW specjalnym kodem JavaScript, który automatycznie uruchamia się, gdy internauta otworzy ją w przeglądarce.

Niezależnie od metody kopanie kryptowaluty odbywa się w tle i wiele ofiar może się nie zorientować, że ich komputer jest wykorzystywany do tego celu. Co ważne, skrypty cryptojackingowe raczej nie doprowadzają do awarii sprzętu ani nie uszkadzają i nie blokują dostępu do danych przechowywanych na dyskach. Wykradają natomiast moc obliczeniową – czy to procesora, czy układu graficznego. W czasie kopania kryptowaluty komputer pracuje pod dużym obciążeniem i wiele osób może jedynie nieco ponarzekać na taki stan rzeczy, myśląc, że być może przyszła pora na zakup szybszego komputera, bo ten jest już za wolny do realizowanych zadań.

McAfee, firma zajmująca się bezpieczeństwem w IT, podaje, że coraz więcej cyberprzestępców polega na cryptojackingu – wykorzystanie tych metod do kopania kryptowalut wzrosło o 629 proc. od stycznia do marca br. w porównaniu z poprzednimi trzema miesiącami. Według McAfee w pierwszym kwartale br. odnotowano 2,9 mln ataków, a w poprzednim – zaledwie 400 tys. Eksperci ds. bezpieczeństwa informują, że już kilka dużych i znanych firm padło ofiarą cryptojackingu – byli to m.in. producent samochodów Tesla i ubezpieczyciel Aviva. Firmy nie musiały płacić okupu lub nawet kontaktować się z cyberprzestępcami. Dopóki jednak nie pozbyły się zagrożenia, służbowe komputery pracowały wolniej i odnotowywano wyższe rachunki za prąd.

Początkowym celem twórców narzędzi do kopania kryptowalut była chęć przygotowania rozwiązania do płacenia za dostęp do treści, np. artykułów, filmów czy gier. Do tej pory większość serwisów albo wyświetla reklamy, albo oczekuje zapłaty za dostęp do oferowanych materiałów, najczęściej w modelu abonamentowym. Tymczasem „koparki” miały aktywować kod JavaScript w przeglądarce użytkownika, gdy ten odwiedzi daną stronę, by wykorzystać nieco zasobów jego komputera na potrzeby kopania kryptowaluty – najczęściej tej o nazwie Monero. Każdy internauta miał zapewniać niewiele mocy obliczeniowej, ale gdy w grę wchodzą dziesiątki tysięcy odwiedzających, twórca danego serwisu mógł liczyć na wysokie wynagrodzenie i tym sposobem zrezygnować z wyświetlania reklam, które i tak przez wiele osób są blokowane i niechciane. Użytkownicy mieliby nawet nie zauważać, że w ten sposób płacą za dostęp do treści – w momencie, gdy karta z danym serwisem byłaby otwarta w przeglądarce, kopanie kryptowaluty odbywałoby się w tle.

Cryptojacking zyskał swoją popularność po tym, jak firma Coinhive – a później inne, podobne do niej – przygotowała stosunkowo proste fragmenty kodu do osadzenia na własnej stronie, które następnie aktywowały kopanie kryptowaluty na komputerze przeglądającego tak spreparowaną witrynę internauty. Intencje były dobre: alternatywa dla reklam i niezmuszanie internautów do płacenia za treści pieniędzmi, lecz zasobami komputera. Ale jak w wielu przypadkach, tak i ten pomysł miał zarówno mocne, jak i słabe strony. Cyberprzestępcy oraz co bardziej chciwi właściciele stron WWW implementowali „koparki” na swoich stronach, ale zamiast po trochu czerpać z zasobów komputerów użytkowników korzystali z maszyn internautów bez umiaru, co wyraźnie odbijało się na wydajności urządzeń i późniejszych rachunkach za prąd.

Firmy antywirusowe zaczęły traktować „koparki” jako zagrożenie i zamykać dostęp do tego rodzaju stron. Narzędzia do blokowania reklam również dodały odpowiednie filtry, blokując tego typu metodę zarobkowania.

Cyberprzestępcy znajdowali i stale znajdują nowe sposoby na przejmowanie mocy obliczeniowej z urządzeń niczego nieświadomych użytkowników. Dla przykładu w grudniu 2017 r. klient Starbucksa w Buenos Aires chciał skorzystać z bezpłatnego i publicznego Wi-Fi. Podłączył swój komputer do sieci i zorientował się, że została ona skonfigurowana w taki sposób, aby w przeglądarce otwierała się odpowiednia karta do kopania Monero, spowalniając tym samym połączenie z internetem i przejmując moc obliczeniową danego urządzenia. Właściciel Starbucksa oczywiście o niczym nie wiedział.

Sophos, firma zajmująca się zabezpieczeniami, informuje, że niektórzy właściciele stron mogą nie wiedzieć, że zostały one zainfekowane i kopią kryptowaluty, ale zdecydowana większość robi to umyślnie i używa tak dużo mocy obliczeniowej CPU użytkowników, ile tylko jest w stanie pozyskać. Zdarzyło się też, że kopanie kryptowalut doprowadziło do awarii urządzeń. Koparka o nazwie Loapi, która wykorzystywała urządzenia z Androidem, doprowadziła do przegrzania się jednego ze smartfonów i trwale go uszkodziła.

Ze względu na rosnącą popularność cryptojackingu twórcy przeglądarek internetowych postanowili zareagować. Programiści korzystający z silnika Chromium, na którym opiera się np. Google Chrome, starają się wprowadzać zabezpieczenia, które automatycznie blokują „koparki”. Opera w jednej z ostatnich aktualizacji informowała publicznie, że dodała mechanizm NoCoin do narzędzia blokującego reklamy, które jest wbudowane w przeglądarkę.

Ciągle jednak pojawiają się nowe wariacje skryptów i problem nie znika. Z tego powodu użytkownikom, zwłaszcza tym, którzy korzystają z Google Chrome czy Firefoksa, zaleca się instalację rozszerzeń takich jak AntiMiner, NoCoin i minerBlock, jak również przestrzegania zasad bezpieczeństwa (patrz ramka).

Warto też sprawdzać, czy w czasie przeglądania internetu nie zwalnia samo łącze, jak i komputer, oraz czy system chłodzenia nie zaczyna pracować wyraźnie głośniej. W takim wypadku warto wcisnąć kombinację klawiszy Ctrl +Alt+Delete i udać się do <Menedżera zadań> lub, jeśli korzystasz z Windows 10, od razu wcisnąć Ctrl+Shift+Esc. Następnie w zakładce <Procesy> sprawdź, czy znajdują się tam jakieś nieznane procesy używające bardzo dużo zasobów procesora. Jeśli tak, warto sprawdzić w internecie, za co odpowiada ten proces – jest duża szansa, że ktoś już go przeanalizował i opisał. Jeśli to skrypt do kopania kryptowalut, wyłącz go, a następnie postaraj się dowiedzieć, która strona WWW go uruchomiła – możesz ją wtedy zgłosić do dowolnego producenta oprogramowania zabezpieczającego.

Nieetyczne i obciążające systemy? Tak. Nielegalne? Nie. Okazuje się, że koparki kryptowalut nie są nielegalne. Jak dotąd wykorzystywanie mocy obliczeniowej czyjegoś urządzenia do wydobywania kryptowalut nie jest postrzegane jako działanie nielegalne – głównie dlatego, że typowe wirusy czy złośliwe oprogramowanie trafia na komputery i smartfony, bo haker je tam w jakiś sposób umieścił, często oszukując użytkownika, że ten np. pobiera muzykę, kiedy tak naprawdę instalował wirusa. Tymczasem skrypty do kopania kryptowalut nie blokują dostępu do danych i nie instalują wirusów, a kiedy zamkniesz kartę w przeglądarce, która aktywowała „koparkę”, proces kopania zostaje automatycznie wstrzymany. Można powiedzieć, że cryptojacking przypomina w działaniu ciasteczka stosowane na stronach internetowych, które też są przecież legalne, mimo że wielu użytkowników je blokuje i uważa, że ingerują one w ich prywatność.

Producenci software’u zabezpieczającego też nie są do końca przekonani, jak postępować z „koparkami”. Malwarebytes, autor m.in. popularnego oprogramowania o tej samej nazwie, które służy do odnajdywania i usuwania szkodliwego malware’u, przyznaje, że koncepcja wykorzystywania komputerów czy smartfonów do kopania kryptowalut jest dobrym pomysłem. –To mógłby być opłacalny zamiennik dla typowego modelu generowania przychodów z wyświetlania reklam – mówi Adam Kujawa, dyrektor laboratorium Malwarebytes. –Póki co blokujemy jednak takie skrypty, ponieważ nie mają one opcji włączania/wyłączania widocznej dla użytkownika. Działają bez jego wiedzy i stanowią poważne obciążenie dla zasobów systemowych, mogąc powodować nawet degradację sprzętu – dodaje.

Coinhive, stojące za najpopularniejszym skryptem do kopania kryptowalut, przygotowało „koparkę” AuthedMine, która prosi o zgodę na dostęp do zasobów komputera, zanim zostanie uruchomiona. Niestety nie zyskała ona tak dużej popularności w środowisku webmasterów, jak pierwotny kod.

Dopóki więc cryptojacking będzie stosowany tak, jak obecnie, raczej nie zyska zbyt wielu zwolenników, a już tym bardziej aprobaty ze strony producentów oprogramowania zabezpieczającego czy twórców przeglądarek WWW. A szkoda, bo jest to innowacyjne podejście do zarabiania w internecie i gdyby nie chciwość cyberprzestępców i fanów kryptowalut, być może mielibyśmy już alternatywę dla reklam internetowych i wszędobylskiego „śledzenia” internautów, byle tylko poznać ich nawyki i zwyczaje zakupowe.

Cyberprzestępcy opracowali co najmniej kilka metod na zainfekowanie komputerów i zmuszenie ich do kopania kryptowalut. Zwykle nie są to jednak nowe sposoby – podobne często można było spotkać w przypadku złośliwego oprogramowania malware czy ataków typu ransomware i adware. Oto kilka przykładów:

1. Nocna zmiana w banku: firma zabezpieczająca Darktrace poinformowała o ataku, który miał miejsce w jednym z europejskich banków. Wieczorami dochodziło do nietypowej aktywności na serwerach: nocne procesy, np. operacje wykonywane przez klientów, przebiegały znacznie wolniej, niż powinny, ale narzędzia diagnostyczne nie wykrywały żadnych zagrożeń. Darktrace przeprowadził analizę i okazało się, że serwery wieczorami łączyły się z internetem – a w dodatku były to maszyny oficjalnie niezarejestrowane w banku. Dopiero fizyczna inspekcja wykazała, że nieuczciwy pracownik z działu IT umieścił dodatkowy sprzęt i odpowiednie oprogramowanie w serwerowni banku. Wykorzystywał infrastrukturę (m.in. dostęp do prądu i mocy obliczeniowej serwerów, do których podłączył swój sprzęt) na potrzeby kopania krytpowalut.

2. Robak na Facebooku: w 2017 r. Kaspersky Lab wykrył złośliwe rozszerzenie do przeglądarki Google Chrome, które wykorzystywało komunikator Facebook Messenger do infekowania komputerów użytkowników. Był to wirus o nazwie Facexworm, który początkowo dostarczał oprogramowanie adware, ale na początku tego roku zmienił formę i działał już jako koparka kryptowalut. Ciągle wykorzystywał Facebooka – wysyłał na komunikatorze wiadomości z linkami, zachęcając internautów do odwiedzania różnego rodzaju stron. Kiedy internauta klikał link, jego komputer był automatycznie zatrudniany do kopania kryptowalut.

3. Dziennik Rzeczpospolita ze skryptem: w styczniu br. w internecie pojawiło się kilka informacji na temat obecności skryptów kopiących kryptowaluty na stronach dziennika Rzeczpospolita (rp.pl). Nie było to umyślne działanie wydawcy, lecz konsekwencja uzyskania nieautoryzowanego dostępu do serwisu przez osoby trzecie. Wykorzystano skrypt JS/CoinMiner.F, który obciąża komputer kopaniem kryptowalut.

Rozszerzenie MinerBlock do blokowania koparek kryptowalut uruchamianych w przeglądarkach WWW. Źródło: Dokumentacja kodu źródłowego na Github.com (programista xd4rker/MinerBlock) Postępując zgodnie z poniższymi zaleceniami, na pewno zminimalizujesz ryzyko zagrożenia związanego z cyberatakiem:

• wyłącz możliwość instalowania aplikacji z innych źródeł niż oficjalne sklepy z aplikacjami (dotyczy smartfonów i tabletów);
• korzystaj z najnowszej wersji systemu operacyjnego, aby zredukować liczbę luk w zabezpieczeniach i przez to obniżyć ryzyko ataków;
• wybieraj wyłącznie aplikacje i usługi z zaufanych źródeł, zwłaszcza w przypadku rozwiązań służących do ochrony prywatności online (np. VPN);
• zainstaluj oprogramowanie zabezpieczające, najlepiej kompleksowe typu Internet Security czy Total Security, które wykrywa i chroni przed wszystkimi potencjalnymi zagrożeniami, łącznie z oprogramowaniem do kopania kryptowalut;
• pobieraj wyłącznie legalne pliki i programy, korzystając z zaufanych źródeł;
• nie otwieraj nieznanych stron internetowych ani nie klikaj podejrzanych bannerów czy reklam. Nie reaguj też na wiadomości od osób nieznajomych na komunikatorach typu Messenger; uważnie podchodź do instalacji różnego rodzaju rozszerzeń do przeglądarek WWW, a także rozważ instalację rozszerzeń blokujących koparki kryptowalut, np. MinerBlocka czy NoCoina.

adware – oprogramowanie rozpowszechniane za darmo, którego producent otrzymuje wynagrodzenie za wyświetlanie reklam, często w sposób natrętny, niepożądany przez użytkownika.
cryptojacking – atak, w którym haker przejmuje kontrolę nad zasobami komputera (moc obliczeniową), aby wykorzystywać je do kopania (wytwarzania) kryptowalut.
kryptowaluta – jedna z odmian waluty wirtualnej. Najpopularniejsza kryptowaluta to bitcoin, jednak istnieje kilka tysięcy innych i cały czas powstają nowe. Kryptowaluty wykorzystują kryptografię (zabezpieczenie przed niepowołanym dostępem), a posiadacz danej waluty ma odpowiedni klucz prywatny i nie może dwukrotnie wydać tej samej jednostki.
malware – wszelkiego rodzaju aplikacje i skrypty mające szkodliwe działanie dla komputera lub jego użytkownika.
ransomware – oprogramowanie, które na ogół blokuje dostęp do systemu lub uniemożliwia odczyt wybranych danych (np. przez szyfrowanie ich). Ofiara otrzymuje żądanie zapłaty okupu za przywrócenie stanu pierwotnego, czyli usunięcie zagrożenia.