Cryptomining
Unit 42 entdeckt Missbrauch von Cloud-Ressourcen für illegales Cryptomining
Eine neue Taktik für "Play and Run"
Die Cryptomining-Kampagne unter der Bezeichnung „PurpleUrchin“, die erstmals im Oktober 2022 aufgedeckt wurde, wird als „Freejacking“-Operation bezeichnet. Bei der Untersuchung dieser Bedrohungsszene fanden die Security-Forscher von Palo Alto Networks/Unit 42 Beweise dafür, dass Angreifer von PurpleUrchin bestimmte Taktiken für Play and Run (Handeln und abhauen) anwenden, indem sie Cloud-Ressourcen nutzen und die Rechnung des Cloud-Anbieters dafür schlicht nicht bezahlen.
Die PurpleUrchin-Angreifer führten diese Play-and-Run-Operationen durch die Erstellung und Nutzung gefälschter Konten durch, wobei sie gefälschte oder eventuell gestohlene Kreditkarten verwendeten. Diese gefälschten Konten wiesen einen negativen Saldo auf. Obwohl eine der größten unbezahlten Summen, die wir gefunden haben, lediglich 190 US-Dollar betrug, vermuten wir, dass die unbezahlten Beträge in anderen gefälschten Konten und Cloud-Diensten, die von den Tätern verwendet wurden, aufgrund des Umfangs und der Breite der Mining-Operation wahrscheinlich viel höher waren.
Hintergrund
Die Security-Forscher von Palo Alto Networks/Unit 42 analysierten mehr als 250 Gigabyte an Daten, darunter Container-Daten sowie Zugriffsprotokolle auf Systeme durch den Täter (mit Informationen zur Geolokalisierung) und Hunderten von so genannten Indicators of Compromise (IoCs). Die im Rahmen dieser Untersuchung gesammelten IoCs sind in der Unit 42 ATOM for Automated Libra veröffentlicht.
Die von den Tätern verwendete Architektur der Infrastruktur baut auf CI/CD-Techniken auf, bei denen jede einzelne Software-Komponente eines Prozesses in einem Container untergebracht ist. Dieser Container arbeitet innerhalb einer modularen Architektur innerhalb des größeren Mining-Vorgangs. CI/CD-Architekturen bieten hochgradig modulare Betriebsumgebungen, die es ermöglichen, dass einige Komponenten eines Vorgangs ausfallen, aktualisiert oder sogar beendet und ersetzt werden können, ohne dass die größere Umgebung beeinträchtigt wird. Durch die Analyse der gesammelten Container-Daten konnten die Aktivitäten der Täter bis zum August 2019 zurückverfolgt werden. Ihre Aktivität war über mehrere Cloud-Anbieter und Kryptobörsen verteilt.
Die Analysten von Palo Alto Networks/Unit 42 fanden auch heraus, dass die Protagonisten eine Vorliebe für die Nutzung von Cloud-Diensten mittels traditioneller Virtual Service Providers (VSPs) besitzen. Viele traditionelle VSPs erweitern ihr Service-Portfolio um cloud-bezogene Dienste wie zum Beispiel Cloud Application Platform (CAP) und Application Hosting Platform (AHP). Zu den Cloud-Service-Providern, die CAP- und AHP-Dienste anbieten und ins Visier der PurpleUrchin-Akteure geraten sind, gehören unter anderem Heroku und Togglebox.
Die Forscher von Unit 42 identifizierten mehr als 40 individuelle Krypto-Börsen und sieben verschiedene Krypto-Währungen oder Token, die bei der PurpleUrchin-Operation verwendet wurden. Wir haben außerdem festgestellt, dass bestimmte in Container verpackte Komponenten der von den Tätern geschaffenen Infrastruktur nicht nur für das Mining ausgelegt waren, sondern auch den Handel mit den gesammelten Kryptowährungen über verschiedene Krypto-Handelsplattformen wie CRATEX ExchangeMarket, crex24 und Luno automatisiert hatten.
Fazit
Automated Libra, der cloud-basierte Akteur hinter der Freejacking-Kampagne PurpleUrchin, hat mehr als 130.000 Konten auf kostenlosen oder begrenzt nutzbaren Cloud-Plattformen wie Heroku und GitHub erstellt. Man hat auch den Diebstahl von Cloud-Ressourcen von diesen Plattformen aus betrieben.
Automated Libra verbessert ständig ihren CI/CD-Betrieb und ihre Architektur der Infrastruktur, um die folgenden Aktionen durchzuführen:
- Umgehen oder Auflösen des CAPTCHA, das von GitHub bei der Kontoerstellung präsentiert wird;
- erhöhen der Anzahl der Konten, die pro Minute erstellt werden können; und
- möglichst viel CPU-Zeit nutzen, bevor der Zugriff auf Ressourcen verloren geht.
Es ist wichtig zu beachten, dass Automated Libra seine Infrastruktur so gestaltet, um den größten Nutzen aus CD/CI-Tools zu ziehen. Dies wird im Laufe der Zeit immer leichter zu erreichen sein, da die traditionellen VSPs ihr Service-Portfolio diversifizieren und cloud-bezogene Dienste einbeziehen. Die Verfügbarkeit dieser cloud-bezogenen Dienste macht es den Tätern leichter, da sie keine eigene Infrastruktur für die Bereitstellung ihrer Anwendungen unterhalten müssen. In den meisten Fällen reicht es für sie, lediglich einen Container bereitzustellen.
Während PurpleUrchin einen Freejacking-Prozess für Cryptomining darstellt, setzt Automated Libra auch Play-and-Run-Taktiken ein, um Zugang zu Compute-Ressourcen zu erhalten. Die Threat Actors nutzen diese Cloud-Ressourcen mit begrenzter Nutzungsdauer so lange, bis die zugewiesenen Zeit- oder Dollar-Guthaben erreicht sind, woraufhin Automated Libra die Nutzung dieser Ressourcen einstellt. Dies führt häufig dazu, dass ein Restbetrag fällig wird, den die Täter nicht bezahlen.