Otomatik ve büyük ölçekli bir ‘freejacking’ kampanyası, sağlayıcının pahasına kripto para madenciliği yapmak için ücretsiz GitHub, Heroku ve Buddy hizmetlerini kötüye kullanıyor.
Operasyon, her bir ücretsiz hesaptan küçük bir kâr elde etmek için ücretsiz katmanlı bulut hesaplarına sunulan sınırlı kaynakların kötüye kullanılmasına dayanır ve bu, birleştirildiğinde daha önemli hale gelir.
Kampanyanın arkasındaki ‘Purpleurchin’ adlı tehdit aktörünün GitHub (300 hesap), Heroku (2.000 hesap) ve Buddy.works (900 hesap) gibi CI/CD servis sağlayıcılarını kullanarak günde bir milyondan fazla işlev çağrısı gerçekleştirdiği gözlemlendi. .
Bu hesapların kullanımı, madencilik kapsayıcılarıyla birlikte 130 Docker Hub görüntüsü aracılığıyla döndürülür ve kanalize edilirken, tüm operasyonel seviyelerdeki karışıklık Purpleurchin’i şimdiye kadar tespit edilmedi.
Operasyon detayları
İçinde yeni rapor Sysdig tarafından araştırmacılar, operasyonun çekirdeğinin, tüm aktif madencilik ajanlarını koordine eden ve onları tehdit aktörünün madencilik havuzuna yönlendiren komuta ve kontrol sunucusu (C2) ve Stratum sunucusu olarak görev yapan bir linuxapp konteyneri (‘linuxapp84744474447444744474’) olduğunu açıklıyor.
GitHub hesaplarının oluşturulmasını otomatikleştirmek, bir havuz oluşturmak ve GitHub eylemlerini kullanarak iş akışını çoğaltmak için bir kabuk komut dosyası (‘userlinux8888’) kullanılır. Tüm GitHub eylemleri, adlar için rastgele dizeler kullanılarak gizlenir.
Purpleurchin, GitHub’ın bot etkinliği algılamasından kaçınmak için her hesabı farklı bir IP adresiyle kaydetmek için OpenVPN ve Namecheap VPN kullanıyor.
GitHub eylemleri, yürütülecek komut dosyası, proxy IP’si ve bağlanılacak bağlantı noktası, Stratum ID adı ve kullanılacak maksimum bellek ve CPU miktarları için önceden ayarlanmış bağımsız değişkenleri kullanarak her çalıştırmada 30’dan fazla Docker görüntüsü örneği başlatır.
Sonunda, başka bir komut dosyası (“linuxwebapp88”) Stratum sunucusundaki yapılandırmayı doğrulayacak, GitHub deposunda bulunan Docker komutunu alacak ve madenci kapsayıcısını başlatacaktır.
Madenci, Tidecoin, Onyx, Surgarchain, Sprint, Yenten, Arionum, MintMe ve Bitweb gibi bir dizi kripto parayı gizlice çıkarmak için sunucunun CPU gücünün küçük bir kısmını kullanır.
Madencilik işlemi, ağ tarayıcılarının madencilik havuzlarına giden bağlantıları keşfetme yeteneğini engelleyen özel bir Stratum madencilik protokolü geçişi kullanır.
Bu geçiş aynı zamanda tehdit aktörünün kripto cüzdan adresini de gizler, bu nedenle Purpleurchin’in karı Sysdig’in analistleri için cevaplanmamış bir soru olarak kalır.
Kar ve zarar
Tehdit aktörleri tarafından madencilik için seçilen kripto para birimi marjinal olarak kârlıdır, bu nedenle Sysdig, operasyonun ya erken bir deneysel aşamada olduğunu ya da %51’lik bir ağ kontrol çoğunluğu oluşturarak blok zincirlerinin kontrolünü ele geçirmeye çalıştığını varsayıyor.
İlk senaryo doğruysa, tehdit aktörü yakında Monero veya Bitcoin gibi daha karlı paralara geçebilir.
Her iki durumda da Purpleurchin’in amacı finansal kardan başka bir şey olamaz, ancak devam eden freejacking operasyonu henüz bunu başarmanın doğrudan kanalı olmayabilir.
Ancak GitHub’ın zararı hala önemli ve ölçülebilir, Sysdig’in analistleri hesap başına aylık 15 dolar olduğunu tahmin ediyor. Heroku ve Buddy için maliyet, hesap başına aylık 7 ila 10 ABD Doları arasındadır.
Bu hesaplamalara dayanarak, tehdit aktörünün freejacking yoluyla bir Monero (XMR) madenciliği yapması hizmet sağlayıcıya 100.000 dolardan fazlaya mal olacaktır.
Bu, normal kripto hırsızlığı operasyonlarının neden olduğu hasardan yaklaşık on kat daha fazladır, kabaca olduğu tahmin edilmektedir. Monero için 11.000 dolar.