‘Cryptojacking’ là một hành vi xâm hại, trong đó thiết bị nhiễm mã độc bị chiếm dụng ngầm vào mục đích khai thác tiền mã hóa. Để làm được điều này, kẻ tấn công sẽ chiếm dụng tài nguyên xử lý và băng thông (nạn nhân không hề nhận thức được hành vi này của hacker). Thông thường, các malware đào coin – tác nhân thực hiện hành vi này – được thiết kế để chỉ sử dụng một phần vừa đủ tài nguyên của hệ thống, cùng với đó kẻ tấn công sẽ cố gắng hack vào nhiều thiết bị. Bằng cách đó, chúng sẽ thu thập được lượng tài nguyên tính toán cần thiết để thực hiện các tác vụ an toàn với chi phí rẻ mạt.
Các malware đào coin phiên bản sơ khai bị phụ thuộc vào việc nạn phân phải truy cập vào các liên kết chưa mã độc hoặc mở các đính kèm gửi qua email, từ đó mã độc sẽ ngầm đưa các chương trình đào coin vào hệ thống của họ. Tuy nhiên vào năm trở lại đây, nhiều dạng malware phức tạp hơn đã được phát triển mạnh mẽ, nâng cấp hoàn toàn khả năng tiếp cận của dạng tấn công cryptojacking. Hiện tại, phần lớn các malware này chạy trên các đoạn mã nhúng trong các website, còn được gọi là tấn công cryptojacking nền tảng web.
Tấn công Cryptojacking nền tảng web
Tấn công cryptojacking nền tảng web (còn gọi là ‘drive-by cryptomining’) là hình thức phổ biến nhất của malware khai thác tiền mã hóa. Về cơ bản, hành vi xâm lại này được thực thi bởi các đoạn mã chạy trên nền 1 website, điều khiển làm cho trình duyệt của nạn nhân sẽ khai thác tiền mã hóa một cách tự động trong suốt quá trình truy cập. Các miner nền tảng web đó thường được bí mật thiết lập trên một loạt rất nhiều các trang web, bất kể độ phổ biến hay lĩnh vực nào. Monero là loại tiền được ưu tiên hàng đầu của các hacker trong cách tấn công này vì quá trình khai thác của nó không đòi hỏi lượng tài nguyên và năng lượng tính toán lớn như khai thác Bitcoin. Thêm vào đó, cấp độ bảo mật và tính ẩn danh của Monero cũng ở một đẳng cấp cao hơn nhiều, giúp các giao dịch của hacker khó bị truy ngược hơn.
Không giống với hình thức tấn công đòi tiền chuộc, malware khai thác tiền mã hóa thường không gây hại cho máy tính bị tấn công và dữ liệu của nó. Tác hại dễ nhận thấy nhất của hình thức này là làm giảm hiệu suất của CPU (quạt tản nhiệt hoạt động nhiều nên ồn hơn). Tuy vậy, hiệu suất CPU kém thường gây cản trở lớn đối với công việc của các doanh nghiệp và tổ chức quy mô lớn, tiềm tàng nguy cơ gây tổn thất lớn và bỏ lỡ các cơ hội.
CoinHive
Hành vi sử dụng hình thức tấn công cryptojacking nền tảng web xuất hiện lần đầu tiên vào tháng 9 năm 2017, do một ứng dụng khai thác tiền mã hóa có tên là CoinHive công bố chính thức. CoinHive là một ứng dụng khai thác tiền mã hóa viết bằng JavaScript ban đầu được phát triển với một mục đích hết sức cao cả là cho phép chủ sở hữu các trang web kiếm tiền từ các nội dung chưa sử dụng đến của họ thay vì phải đăng các quảng cáo gây khó chịu.
CoinHive tương thích với hầu hết các trình duyệt phổ biến và cách thiết lập cũng tương đối đơn giản. Chủ sở hữu ứng dụng sẽ giữ lại 30% lượng tiền khai thác được từ các đoạn mã họ viết. 70% còn lại được các khóa mã hóa xác nhận để tìm ra tài khoản người dùng đủ điều kiện được nhận.
Bất kể việc được giới thiệu là một công cụ hấp dẫn ban đầu, CoinHive phải nhận vô số chỉ trích bởi trên thực tế, ứng dụng này đã bị giới tội phạm công nghệ sử dụng vào mục đích bí mật đưa các máy đào của chúng lên hàng ngàn website bảo mật kém mà trong đó nạn nhân không hề hay biết.
CoinHive tất nhiên vẫn có những trường hợp được sử dụng vào mục đích tốt, đoạn mã JavaScript cryptojacking được cấu hình thành một phiên bản Opt-In được gọi là AuthedMine, về cơ bản là một phiên bản sửa đổi của CoinHive, và chỉ thực hiện khai thác khi có được sự đồng ý của người truy cập website.
Và điều tất nhiên, mức độ phổ biến của AuthedMine là kém xa so với CoinHive. Thống kê nhanh trên PublicWWW cho thấy hiện đang có khoảng 14,900 website có chạy CoinHive (trong số đó khoảng 5,700 website đến từ WordPress). Trong khi đó, con số tương tự đối với AuthedMine chỉ vào khoảng 1,250 trang.
Trong suốt nửa đầu năm 2018, CoinHive được các chương trình diệt virus cũng như các công ty bảo mật công nghệ xếp vào dạng malware nguy hiểm nhất. Tuy nhiên, các báo cáo gần đây cho thấy cryptojacking không còn là mối đe dọa phổ biến nhất nữa, thay vào đó các Trojan Banking và hình thức tấn công đòi tiền chuộc Ransomeware lần lượt giữ ngôi vị số 1 và số 2.
Tình trạng sớm nở tối tàn này của cryptojacking được cho là nhờ có nỗ lực ngăn chặn đến từ các công ty bảo mật công nghệ nhằm đưa các đoạn mã cryptojacking vào danh sách đen và sẽ nhanh chóng bị phát hiện bởi nhiều chương trình diệt virus. Ngoài ra, các phân tích gần đây cũng chỉ ra rằng hình thức tấn công này cũng chẳng đem lại quá nhiều lợi ích như tưởng tượng.
Một số vụ tấn công Cryptojacking.
Tháng 12.2017, đoạn mã CoinHive được bí mật đẩy lên hệ thống WiFi của nhiều cửa hàng Starbucks tại Buenos Aires, theo báo cáo là đến từ một khách hàng tại cửa hàng này. Đoạn mã này thực hiện việc khai thác đồng Monero bằng cách sử dụng tài nguyên tính toán của các thiết bị được kết nối.
Đầu năm 2018, CoinHive bị phát hiện trên các quảng cáo của YouTube thông qua nền tảng DoubleClick của Google.
Tháng 7 và tháng 8 năm 2018, một vụ tấn công cryptojacking vào hơn 200,000 router Mikro Tik tại Brazil đã cấy đoạn mã CoinHive lên hàng ngàn website có lượng truy cập cực lớn.
Cách phát hiện và ngăn chặn tấn công Cryptojacking.
Nếu bạn nghi ngờ rằng CPU của mình đang bị sử dụng nhiều hơn mức bình thường, quạt gió kêu to một cách bất thường, rất có thể thiết bị của bạn đang bị chiếm dụng để khai thác coin. Việc kiểm tra xem máy tính hoặc trình duyệt có bị nhiễm mã độc cryptojacking hay không là rất quan trọng. Phát hiện mã và dừng mã độc cryptojacking nền tảng web là khá đơn giản, nhưng với các mã độc tấn công hệ thống máy tính và mạng internet thì lại không dễ dàng như vậy vì các mã độc này thường được ẩn khá kĩ hoặc che giấu dưới dạng một ứng dụng an toàn.
Hiện nay, một số extension của trình duyệt có khả năng ngăn chặn hiệu quả các mã độc cryptojacking nền tảng web. Tuy nhiên, các extension này bị hạn chế bó hẹp vào nền tảng website, cộng thêm việc do sử dụng danh sách đen tĩnh nên thường bị lỗi thời rất nhanh khi các mã độc mới được phát triển. Do đó, người dùng cần thường xuyên cập nhật hệ điều hành cũng như các phần mềm diệt virus.
Ở cấp độ doanh nghiệp và các tổ chức lớn, nhân viên cần được phổ biến về các công nghệ tấn công giả mạo (phishing) và tấn công cryptojacking qua các hình thức như email hay website giả mạo.
Kết luận:
- Chú ý theo dõi hiệu suất hoạt động của CPU thiết bị;
- Cài đặt các extension bảo mật cho trình duyệt ví dụ như MinerBlock, NoCoin hoặc Adblocker;
- Cẩn trọng trước các đính kèm email và các liên kết.
- Sử dụng các phần mềm duyệt virus uy tín, luôn cập nhật hệ điều hành và các phần mềm này;
- Với các doanh nghiệp: phổ biến về cryptojacking và phishing tới toàn bộ nhân viên.
