Cryptojacking to rodzaj cyberprzestępczości polegający na zainfekowaniu i wykorzystaniu bez wiedzy i zgody użytkownika mocy obliczeniowej urządzenia zaopatrzonego w procesor (komputera, serwera, urządzenia sieciowego, smartfona lub tabletu – zagrożone są zarówno urządzenia z Android i iOS, bądź urządzenia Internetu Rzeczy – np., telewizora, pralki, kamery) do wydobywania kryptowalut. Najczęściej wydobywane są kryptowaluty zapewniające anonimowość transakcji, tak zwane „private cryptocurrencies”, a więc przede wszystkim Monero, a także ZCash i DASH. Motywacją podejmowania takiej działalności jest chęć zysku, zaś niewielką moc obliczeniową pojedynczego urządzenia (w szczególności smartfona, tabletu lub urządzenia IoT) sprawcy cryptojackingu kompensują masowością infekowanych urządzeń (tworzona jest zarządzana przez cyberprzestępcę sieć urządzeń zwana botnetem). Efekt cryptojackingu to kradzież zasobów obliczeniowych spowalniająca procesy uruchamiane przez użytkownika, istotne skrócenie żywotności urządzenia, zwiększenie podatności zainfekowanej maszyny na inne wektory ataku oraz w skali masowej lub długotrwałej – zwiększenie rachunków za energię elektryczną.
Cryptojacking zyskuje na znaczeniu wśród innych cyberprzestępstw od 2017 roku a jego natężenie jest istotnie skorelowane z wahaniami cen kryptowalut. W porównaniu z innymi cyberprzestępstwami nie stwarza dużego ryzyka dla atakujących. Jest łatwy do wdrożenia, trudny do zauważenia przez ofiarę, a wykrycie sprawcy jest utrudnione. Trzy czwarte wszystkich ataków dotyczy użytkowników w krajach jak: Japonia, Indie, Tajwan USA, Australia.
Cryptojacking jest w Polsce czynem karalnym na mocy art. 287 Kodeksu karnego (rozpatrywany jest jako oszustwo komputerowe). Wykrywalność jest globalnie drastycznie niska, do stycznia 2021 roku skazano na karę więzienia zaledwie jednego cryptojackera.
Istnieją trzy główne metody działania wykorzystywane w cryptojackingu:
1. Instalacja pliku wykonywalnego na urządzeniu ofiary. Infekcja następuje poprzez stwarzającą pozory wiarygodności wiadomość e-mail zawierającą odnośnik do zainfekowanego programu (tzw. phishing). Zagrożenie to ma charakter trwały i wydobywanie kryptowalut jest wznawianie każdorazowo po włączeniu komputera i połączeniu z siecią. Oprogramowanie takie tworzone jest w językach programowania niskiego poziomu, jak C++ lub Asembler, aby utrudnić wykrywalność przez oprogramowanie antywirusowe. Przykładem takiego złośliwego oprogramowania jest
2. Skrypt wydobywający kryptowaluty na otwartej w przeglądarce stronie internetowej (drive-by cryptomining). W witrynie www (stworzonej lub przejętej przez cyberprzestępcą) osadzany jest kod JavaScript, który używa komputerów odwiedzających stronę użytkowników do wydobywania kryptowalut. Skrypty te mogą być również obecne w reklamach, wtyczkach do przeglądarek oraz wtyczkach do systemu zarządzania treścią WordPress. W tym przypadku do zainfekowania nie jest wymagane żadne inne działanie niż odwiedzenie strony www lub zainstalowanie i włączenie wtyczki. Zagrożenie ustaje po zamknięciu przeglądarki, jednak musi być to wyłączenie wszystkich procesów tego programu. Zagrożenie to rozwinęło się wskutek niezgodnego z przeznaczeniem wykorzystania produktów przedsiębiorstwa Coinhive oferującego możliwość zarobkowania na użytkownikach odwiedzających strony za ich wiedzą i zgodą. Inne przykłady takiego oprogramowania to: DeepMiner, Monerise oraz Webminepool.
3. Wykorzystanie zasobów infrastruktury chmury obliczeniowej ofiary (jako następstwo przejęcia uprawnień dostępu, tj. kluczy API/SSH).
Wykrycie działania cryptojackera nie jest łatwe dla zwykłego użytkownika (wymaga wiedzy z zakresu analizy procesów systemowych), bowiem złośliwe oprogramowanie zwykle dysponuje możliwością mimikry. Objawami infekcji, choć nie są one jednoznaczne, mogą być: zwiększone obciążenie procesora, częstsze używanie wentylatorów (komputery) lub przegrzewanie się baterii (smartfony, tablety), zauważalne spowolnienie urządzenia, zawieszanie się urządzeń z powodu brakującej mocy obliczeniowej, zwiększenie poboru energii elektrycznej, szybciej rozładowujące się baterie urządzeń. Do samoobrony można wykorzystać specjalistyczne wtyczki przeglądarkowe jak AntiMiner, minerBlock oraz NoCoin umożliwiające zablokowanie złośliwym skryptów w przeglądarce. Zalecane używanie wtyczek blokujących reklamy wydaje się już nieefektywne, najnowsze rozwiązania cryptojackingowe potrafią sobie z nimi radzić.
[D. Mider]
