Kriminelle haben kostenlose Cloud-Konten bei CI/CD-Anbietern missbraucht, um Kryptowährungen zu schürfen, aber die Bedrohungskampagne hält mehr als man denkt, warnen Experten.
Cybersicherheitsforscher von Sysdig deckten mehr als 30 GitHub-Konten, 2.000 Heroku-Konten und 900 Buddy-Konten auf, die in einer Aktivität namens „Freejacking“ (Hijacking kostenloser Konten) missbraucht wurden. Die Forscher nannten die Kampagne Purpleurchin und beschreiben sie als einen Versuch, Cryptominer „in so vielen Umgebungen wie möglich und so weit wie möglich“ zu betreiben.
Durch die Verwendung kostenloser Konten werden die Kosten für das Schürfen von Kryptowährungen (die immer relativ hoch sind) auf den Dienstanbieter (in diesem Fall GitHub, Heroku und Buddy) verlagert.
Riesige Schäden
Nach der Analyse der Kampagne schätzten die Forscher von Sysdig, dass jedes kostenlose GitHub-Konto, das von Purpleurchin erstellt wurde, die Plattform 15 US-Dollar pro Monat kostete. Alles in allem würde es die Plattform etwa 100.000 US-Dollar kosten, wenn der Bedrohungsakteur einen Monero-Token schürfen würde (ein Token ist derzeit etwa 150 US-Dollar wert).
Aber die Angreifer bauen Monero noch nicht ab. Sie versuchen tatsächlich, eine Reihe obskurer Münzen abzubauen, darunter Tidecoin, Onyx, Surgarchain, Sprint, Yenten, Arionum, MintMe und Bitweb. Anscheinend ist die gesamte Kampagne kaum profitabel.
Dies hat die Forscher zu der Annahme veranlasst, dass dies alles entweder noch ein Experiment oder ein Versuch ist, die zugrunde liegenden Blockchains zu übernehmen.
Wenn es sich um ein Experiment handelt, testen die Bedrohungsakteure es nur, um zu sehen, ob die Methode funktioniert, bevor sie zu bekannteren Token (wie Bitcoin oder Monero) übergehen. Was den Angriff auf die Blockchain betrifft – Proof-of-Work-Netzwerke (auf denen Coins „geschürft“ werden können, im Gegensatz zu Proof-of-Stake-Coins, die alle vorgemint sind) können von einer Entität übernommen werden, wenn sie 51 halten kann %+ der Hash-Power (Mining-Power). Das würde dieser Entität die Möglichkeit geben, die Blockchain zurückzusetzen, doppelte Ausgaben zu tätigen und ähnliches. Es würde jedoch auch den Preis des Tokens in den Boden treiben.
Die Adressen, an die die Miner die geschürften Token senden sollen, sind verborgen, wodurch es unmöglich ist, den Erfolg der Kampagne festzustellen oder die Angreifer zu identifizieren.
Über: Piepender Computer (öffnet in neuem Tab)