當雲端環境出現挖礦活動,對企業是一種警訊

加密貨幣挖礦本身所能賺取的利潤其實相對很少,因為所賺到的貨幣都已被耗費的資源所抵銷。但非法挖礦所有的挖礦成本都已轉嫁到受害者身上,駭客集團只負責收割挖礦的成果。不過真正讓他們賺錢的是次級市場:一些較為高階的駭客集團會利用他們的資源來提供存取服務,將他們的基礎架構、工具、服務提供給其他駭客集團使用,而這些集團可能會對企業造成更大傷害。

 

當雲端環境出現挖礦活動,對企業是一種警訊

近期趨勢科技觀察到的一個趨勢就是雲端加密貨幣挖礦( coinmining )犯罪集團正在興起,他們專門竊取雲端資源 (尤其雲端執行個體的 CPU 運算效能) 來開挖加密貨幣。

隨著雲端系統逐漸成為企業機構營運基礎架構的重要元素,駭客集團也開始將目標移轉到雲端,利用雲端資安的弱點來從事各種惡意活動,從竊取資料與網路間諜活動,到分散式阻斷服務攻擊 (DDoS)攻擊等等。

近期我們觀察到的一個趨勢就是雲端虛擬加密貨幣挖礦犯罪集團正在興起,他們專門竊取雲端資源 (尤其雲端執行個體的 CPU 運算效能) 來開挖加密貨幣 (目前最夯的是門羅幣,因為可使用 CPU 挖礦)。趨勢科技在一份研究報告「飄浮的戰場:如何因應雲端虛擬加密貨幣挖礦情勢」(A Floating Battleground: Navigating the Landscape of Cloud-Based Cryptocurrency Mining) 當中詳細探討了這項趨勢。

挖礦攻擊的實際成本經常被低估


乍看之下,加密貨幣挖礦很容易讓人掉以輕心,認為它只不過是小麻煩而已,不像其他類型的駭客入侵 (如勒索病毒) 那麼嚴重,因為挖礦只是會消耗資源,並不會竊取機密資料或將資料加密,但其實挖礦攻擊的實際成本經常被人低估。

為此,我們特別建立一套系統來估算雲端虛擬加密貨幣挖礦攻擊會消耗多少資源,以及會耗費多少成本。我們發現,當系統在 CPU 使用率 13% 左右的情況下運作時,每個月的服務費用大約是 20 美元。但如果使用率變成了 100%,那麼費用將飆升至 6 倍以上,變成每個月 130 美元,這是挖礦攻擊可以預期的結果。請注意,這只是計算一台機器的成本而已,企業機構 (尤其是大型機構) 通常會部署許多雲端執行個體,如此一來,資源的消耗量和費用將相當可觀。

系統感染虛擬加密貨幣挖礦程式時,CPU 使用率將瞬間飆高。
圖 1:當系統感染虛擬加密貨幣挖礦程式時,CPU 使用率將瞬間飆高。


而這還只是加密貨幣挖礦攻擊有形的成本,企業還會間接衍生出一些不良的後果,例如營運中斷或變慢,進而損失營收,甚至可能因造成客戶的不便而損害商譽。

挖礦犯罪集團爭奪雲端地盤


一些較大的加密貨幣挖礦犯罪集團,他們所使用的工具、技巧,以及跟外界互動的方式都不盡相同。有些集團的方法比較原始,有些則隨時都在不斷精進技術來攻擊漏洞和其他資安弱點以便駭入目標系統。

有的集團會一直沿用其熟悉的方式,例如 Outlaw 駭客集團專門利用暴力登入或攻擊已知漏洞的方式來駭入物聯網(IoT ,Internet of Thing裝置和 Linux 伺服器,很少有其他變化。反觀 TeamTNT 駭客集團則會不斷提升攻擊的精密度,並經常利用竊取登入憑證的方式在網路上四處遊走,或者利用服務的組態設定錯誤來入侵伺服器。還有一些其他集團 (包括像 Kinsing8220 這類多產的集團) 則會使用 Rootkit 和殭屍網路,並且有能力攻擊各式各樣的漏洞。

然而促使加密貨幣挖礦犯罪集團不斷演進的動力,是他們彼此之間的競爭。由於雲端執行個體同樣也是一種有限的資源,所以每個集團都會確保自己的挖礦程式能占用所有資源。這也難怪該領域的某些駭客集團 不論在技術和基礎架構上都相當先進。

雲端環境出現挖礦活動,代表犯罪集團已駭入企業雲端基礎架構


加密貨幣挖礦本身所能賺取的利潤其實相對很少,因為所賺到的貨幣都已被耗費的資源所抵銷。但非法挖礦就沒這問題,因為所有的挖礦成本都已轉嫁到受害者身上,駭客集團只負責收割挖礦的成果。不過真正讓他們賺錢的是次級市場:一些較為高階的駭客集團會利用他們的資源來提供存取服務,將他們的基礎架構、工具、服務提供給其他駭客集團使用,而這些集團可能會對企業造成更大傷害。

無論如何,企業機構都不應輕忽虛擬加密貨幣挖礦惡意程式的問題,認為只不過是系統感染惡意程式而已。此外,企業還應思考這件事對其雲端資安的意義。雲端環境出現加密貨幣挖礦活動,對企業是一種警訊 (如同礦坑裡的金絲雀一樣),代表犯罪集團已經駭入了企業的雲端基礎架構。企業應嚴肅看待發現加密貨幣挖礦活動這件事,因為此時尚未造成嚴重損害,或許是企業還能做出回應的唯一機會。

所幸,企業可以主動採取一些措施來消除雲端環境的資安漏洞,從採取一般性資安及雲端最佳實務原則 (例如盡速套用修補更新和避免雲端 API 暴露在網際網路),到遵從某些特定建議 (例如建立一些規則來監控系統是否出現任何警訊)。此外,採用雲端防護產品也可協助企業過濾網路流量來縮小受攻擊面。

如需有關雲端虛擬加密貨幣挖礦情勢的更多資訊,請閱讀我們的完整報告「飄浮的戰場:如何因應雲端虛擬加密貨幣挖礦情勢」(A Floating Battleground: Navigating the Landscape of Cloud-Based Cryptocurrency Mining)。

◼原文出處:Why Organizations Should Take Cloud-Based Cryptocurrency-Mining Attacks Seriously
作者:Mayra Rosario Fuentes、Stephen Hilt、Robert McArdle 與 Lord Alfred Remorin