التعدين الخبيث Cryptojacking

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

التعدين الخبيث Cryptojacking أو تعدين العملة الرقمية المشفرة غير المصرّح به، أو عن الانجليزية الكريبتوجاكينغ، هي عملية خطف جهاز الضحية بدون علمه/علمها واستغلال قدرات الجهاز الحسابية لتعدين العملات الرقمية المشفّرة Cryptocurrencies. لتحقيق ذلك يقوم المهاجمون عادة إما عبر استخدام اساليب الهندسة الاجتماعية Social Engineering كإرسال روابط خبيثة إلى الضحايا تؤدي إلى إصابة الجهاز ببرمجية تعدين العملات المشفرة على الحواسب المصابة، أو عبر إصابة موقع على الانترنت ووضع برمجية التعدين ضمن الموقع، بحيث تقوم البرمجية بالتعدين عبر المتصفح على أجهزة زوار الموقع المصاب.

في كلا الحالتين، ستعمل برمجية التعدين تلقائياً أثناء استخدام الحاسوب، وفي كثير من الأحيان دون أن يلاحظ أحد وجود الإصابة.

فخلافا لأغلبية البرمجيات الخبيثة التي تصيب الأجهزة، لا تضر برمجيات التعدين غير المصرّح به ببيانات الضحية ومعلوماته أو نظام تشغيله أو اتصاله بالإنترنت، بل تسرق قدرات المعالجة من وحدة المعالجة المركزية CPU أو من وحدة تسريع الروسمات GPU. هذا يؤدي إلى انخفاض أداء الجهاز ما قد إزعاجا بسيطا لمستخدمي الأجهزة المصابة، ومع الوقت ارتفاعا في فاتورة الكهرباء، الضروري لتغذية المعالج المنهمك في إجراء العمليات الحسابية الضرورية للتعدين. وفي حال أصيبت أجهزة شركة أو مؤسسة ما، فسؤدي ذلك إلى انخفاض أداء جميع الأجهزة المصابة وبالتالي انخفاض أداء الموظفين وارتفاع فاتورة الكهرباء على المؤسسة. وبسبب ارتفاع حرارة الأجهزة عند قيامها بإجراء العمليات الحسابية اللازمة للتعدين بشكل متواصل، فإن ذلك يزيد من إحتمال عطب وحدة المعالجة المركزية أو مراوح التبريد على المدى الطويل.

يشكل الربح المادي الهدف الرئيسي وراء هذا الهجوم. فما يتم تعدينه على أجهزة الضحايا من نقود رقمية مشفرة، ستدخل حساب الجهة المهاجمة، التي تستطيع فيما بعد التصرف بهذه النقود كما تشاء، كتحويلها لعملة نقدية (تقليدية) أو كاستخدام العملة الرقمية لشراء الأصول والسلع والخدمات.

للتأكد من تحقيق أكبر قدر من الربح عبر التعدين على أجهزة الضحايا يقوم المهاجمون باختيار عملات رقمية مشفرة لا يحتاج تعدينها بكفاءة إلا لوحدة المعالجة المركزية CPU مثل عملة Monero والتي تعتبر خيار المهاجمين الأول عام 2018.

كما ذكرنا سابقا، هنالك طريقتان أساسيتان لكي يستطيع المهاجم تعدين العملات المشفّرة خلسة على أجهزة الضحية:

الطريقة الأولى هي خداع الضحايا لتحميل برنامج تعدين خاص بالمهاجم على حواسيبهم. يستغل المهاجم في ذلك أساليب الهندسة الاجتماعية Social Engineering كأن يتلقى الضحايا بريداً إلكترونياً يبدو حميدا، لكنه يحتوي على رابطٍ خبيثٍ يقوم بتحميل برنامج التعدين على الحاسوب وتشغيله بشكل خفي بحيث يقوم بالتعدين خلال الاستخدام العادي للحاسب المصاب.

والطّريقة الثانية هي وضع سطور البرمجة الخبيثة على مواقع على الانترنت عبر إختراقها أو عبر استغلال خدمات الدعاية المتاحة عليها. في هذه الحالة تبدأ عملية التعدين لصالح المهاجم تلقائيا عند زيارة أي مستخدم للموقع المصاب. حيث يتم التعدين ضمن بيئة المتصفح.

أعراض التعدين الخبيث Cryptojacking Symptoms

لحسن الحظ للتعدين الخبيث أعراض من السهل ملاحظتها. من هذه الأعراض:

  1. انخفاض أداء وحدة المعالجة المركزية CPU ما ينعكس على بطء الجهاز ككل. فالتعدين الخبيث يستغل موارد جهاز الضحية لانجاز العمليات الرياضة اللازمة ما ينعكس سلبا على أداء الجهاز حيث يلاحظ المستخدم بطء استجابة الجهاز بشكل عام. لذلك، قد تعني ملاحظة بطء الجهاز إصابتهم ببرنامج تعدين خبيث. وإن ترافق بطء الجهاز مع زيارة موقد محدد فقد يعني ذلك أن الموقع يستغل موارد الجهاز بهدف التعدين الخبيث.
  2. ارتفاع درجة حرارة الجهاز، وذلك يعود إلى أن عملية التعدين تعتمد على إجراء عمليات حسابية بشكل متواصل، بدون توفق، تترافع العمليات الحسابية على الحاسب مع ارتفاع درجة حرارة وحدة المعالجة المركزية CPU وغيرها من مكونات الحاسب، ما يدفع مراوح الجهاز والتي تعمل على الحفاظ على استقرار درجة حرارة الجهاز، إلى العمل بتواتر ولفترات أكبر من المعتاد. إذا عند ملاحظة ارتفاع درجة حرارة الجهاز أو زيادة وتيرة ومدة عمل المراوح، قد يعني ذلك أن الجهاز منهمك بإجراء عمليات حسابية ربما جراء إصابة الجهاز ببرنامج تعدين خبيث أو بسبب زيارة موقع مصاب.

باختصال شديد، عند ملاحظة بطء الجهاز أو ارتفاع درجة حرارته من الضروري إجراء خطوات تشخيص التعدين الخبيث Cryptojacking Diagnosis لتحديد ما إذا كان السبب وراء هذه الأعراض هو فعلا التعدين الخبيث.

تشخيص التعدين الخبيث Cryptojacking Diagnosis

عند بطء أداء الجهاز أو عند ارتفاع درجة حرارته أو ازدياد معدل وفترة عمل المراوح يجب الخطوات التالية لتشخيصي ما إذا كان الجهاز ضحية للتعدين الخبيث:

  1. قوموا بفتح مدير المهام عن طريق ضغط كل من CTRLو SHIFT وESC بنفس الوقت. أو عن طريق الضغط بزر الفأرة الأيمن على شريط المهام ثم اختيار مدير المهام Task manager
  2. اذهبوا الى تبويبة الأداء لمراقبة الحمل الواقع على وحدة المعالجة المركزية. إن كان الحمل مرتفعا، حتى لو لم يكن هناك أي برنامج تعرفوه بقوم بعمل ذو حمل عال وبشكل مستمر فهذا يعني في الغالب أن الجهاز يقوم بالتعدين. فإن لم يكن السبب هو المتصفح، فهذا يعني أن البرنامج الخبيث موجود على جهازكم ويجب إزالته بمساعدة مختص أو مختصة بهذا المجال.
    CPU-Performance .png
  3. في حال كان بطء الجهاز متربطا مع عمل المتصفح فقد يعني ذلك أن التعدين يحصل عبر المتصفح إما عبر إضافة Addon خبيثة أو عبر زيارة موقع مصاب يقوم بحقن أسطر برمجة التعدين ضمن متصفحكم. للتحقق من ذلك على متصفح كروم Chrome أو كروميوم Chromium قوموا بفتح مدير المهام لمتصفح كروم بضغط كلاً من SHIFT وESC أو من قائمة الإعدادات، قوموا باختيار أدوات أخرى، ثم قوموا باختيار: مدير المهام لتظهر النافذة التالية:
    Border
  4. ضمن مدير المهام الخاص بالمتصفح يمكنم الاطّلاع على العمليات التي تعمل ضمن المتصفح سواءَ كانت مرئية للمستخدم كتبويبة تصفح أو كانت غير مرئية أي تعمل في الخلفية Background ، وسواء كانت العمليات مرتبطة بإضافةً ما Addon أو تبويبة Tab، ويمكن معاينة ما هي نسبة استغلال وحدة المعالجة المركزية من قبل كل مهمة. في حال وجود تبويبة أو إضافة تستغل المعالج بقدر غير اعتيادي، فإن هذا يدل على أن هناك عملية تعدين تجري ضمن المتصفح.

التعامل مع هجمات التعدين غير مصرّح به للعملات المشفرة

عند اكتشافكم أنكم ضحية هجوم التعدين الخبيث وفي حال كان الهجوم غير مترتبط بعمل المتصفح. يعني ذلك أن الجهاز مصاب ببرنامج تعدين خبيث، في هذه الحالة يجب اعلام القسم التقني في مؤسستكم أو الاتصال بمختصين لإزالة الإصابة والتأكد من عدم إصابة الجهاز بما هو أخطر والتأكد من عدم إصابة جهازكم في المستقبل.

أما في حال أشار التشخيص أن التعدين الخبيث مرتبط بالمتصفح اتبعوا الخطوات التالية لإزالة الإصابة:

  1. حددوا ضمن مدير المهام Task Manager الخاص بالمتصفح، الصفحة التي تستغل وحدة المعالجة المركزية CPU بشكل مريب.
  2. إن كانت تبويبة تصفحة Tab قوموا بإغلاق التبويبة، وتجنبوا زيارة الموقع المصاب في المستقبل، يمكنكم أيضا الضغط على End Process بعد تحديد البند الخاصة بالتبويبة
  3. أضيفوا عنوان التبويبة إلى قائمة المواقع المحظور زيارتها في المؤسسة إن أمكن ذلك.
  4. إن كانت العملية التي تستهلك موارد الحاسب مرتبطة بإضافة ما Addon على المتصفح. قوموا بإزالة الإضافة من المتصفح. يمكنكم أيضا الضغط على End Process بعد تحديد البند الخاصة بالتبويبة لإيقافها بشكل مؤقت.

الوقاية من تعدين العملة الرقمية المشفرة غير المصرّح به Protection

  1. للوقاية من التعدين الخفي يجب على المستخدمين الحذر و والوعي فيما يتعلق بهجمات التّصيد كون هذا النوع من الهجمات وسيلة من الوسائل التي تسمح للقراصنة بالوصول الى جهاز الضحية وزراعة برمجيات التعدين الخبيثة عليه. للوقاية من هجمات التّصيد اقرأ المقالة الهندسة الاجتماعية Social Engineering
  2. بما أنه من الصعب على المستخدم العادي اكتشاف برمجيات التعدين الخبيثة التي تكون موجودة في الإعلانات ومواقع الويب. لذا يُعد تثبيت إضافات منع الإعلانات على متصفحات الويب طريقة فعّالة لمنع برمجيات التعدين الخبيثة.من هذه الإضافات No Coin
  3. مراقبة الشبكة للمنظمات والمؤسسات: هنالك العديد من الحلول لمراقبة شبكة الإنترنت لدى المنظمات والمؤسسات حيث يمكن تحليل البيانات للكشف بدقة عن تهديدات محدّدة مثل الكريبتوجاكينغ كما أنها تجعل من الممكن تتبع هذا النشاط للمستخدمين الفرديين من أجل تحديد الأجهزة المتأثّرة.
  4. ابقوا على اطّلاع على مستجدّات التعدين الخفيّ. إن الطرق التي يتّبعها القراصنة في حقن برمجيات التعدين الخبيثة والبرمجيات الخبيثة ذاتها في تطور مستمر تتطور باستمرار، لذلك فهم الأساليب التي يستخدمها القراصنة وطرقه استهدافهم لضحاياهم وخاصة الحديث منها يساهم في وقاية أجهزتكم ويرفع من جهوزية وأمن المؤسسة التي تعملون ضمنها.

هجمات تعدين خبيث جديرة بالذكر Notable Crytojacking Attacks

مُعدّن WinstarNssmMiner: سياسة الأرض المحروقة

في أيار/مايو 2018 كشفت شركة 360 Total Security عن ملاحظة برنامج تعدين ينتشر كالنار في الهجيم مثبتا فاعلية عالية في التعدين الخبيث، يمتلك المعدّن الذي يحمل اسم WinstarNssmMiner كذلك مفاجأة قذرة لكل من حاول مسحه: يعطل حاسوب الضحية. يفعل WinstarNssmMiner ذلك عن طريق تشغيل عملية svchost.exe أولاً ودس الكود فيها، وضبط صفة العملية الجديدة الناشئة على أنها عملية حرجة أي أساسية لنظام التشغيل Critical Process. وبالتالي فإن نظام التشغيل يتعطل بمجرد حذفها، ما يدفع المستخدمين إلى الإبقاء عليها، ما يعني مزيدا من التعدين الخبيث.

حملة اختراق كبيرة استهدفت راوترات مايكروتيك MikroTik

في آب/أغسطس 2018 كشف الغطاء عن حملة اختراق كبيرة استهدفت راوترات مايكروتيك MikroTik مما عرض عشرات آلاف الأجهزة لخطر الإصابة ببرمجيّات التّعدين الخبيثة التي تقوم بخطف أجهزة الضّحايا دون علمهم وتستغلها لتعدين العملات الرقمية لصالح المهاجمين. الهجوم استهدف بشكل رئيسي راوترات مايكروتيك في البرازيل حيث تم استهداف حوالي 170000 جهاز خلال الهجوم, ولكن باحثين من فريق ترست ويف Trustwave لأمن المعلومات وجدوا أنه هنالك مناطق أخرى حول العالم تم استهدافها وتوقعوا أن يكون الهجوم قد شمل دولا عدة.

التعدين الخفي على منصة كودي Kodi لتشغيل الوسائط

في 14 أيلول/سبتمبر 2018 أصبح معلوما أن مهاجمين استغلوا مشغّل الوسائط واسع الانتشار كودي Kodi بغرض التعدين الخبيث Cryptojacking عبر حملة هددت نحو 5000 جهاز قبل إحباطها. إضافة على كودي تستخدم لإطلاق حملة تعدين خبيث. وحذّر الباحثون من أن هؤلاء الضحايا ما زالوا في خطر.

كودي Kodi فهو برنامج مجاني ومفتوح المصدر، ويمكن استخدامه لتشغيل مقاطع الفيديو والموسيقى والبودكاست وملفات الوسائط الرقمية الأخرى من وسائط التخزين المحلية وعلى الشبكة ومصادر ال Streaming. يمكن للمستخدمين أيضًا توسيع وظائف البرنامج عن طريق تثبيت بعض الإضافات الموجودة في كل من مستودع Kodi الرسمي وفي مستودعات الطّرف الثالث المختلفة. وقام القراصنة بحقن إضافة ببرمجية تعدين خبيث، وبسبب ميزة التحديث التلقائي للإضافات التي يوفرها كودي، إصيب عدد كبير من أجهزة المستخدمين بالبرمجية الخبيثة التي دفعت أجهزة الضحايا تحت إمرة القراصنة إلى التعدين الخبيث.

وفقاً لمؤسسة إي إس إي تي ESET، التي كانت أوّل من كشف الغطاء عن هذه الحملة، قامت برمجيات التعدين الخبيثة حتى 14 أيلول/سبتمبر 2018 بكسب حوالي 6700$ دولار أمريكي من العملة الافتراضية علما أن بداية الحملة تعود لنهاية العام 2017.

موقع صحيفة الأهرام يقوم بالتعدين على أجهزة القراء

في 10 تشرين الثاني/نوفمبر 2018 قام الباحث محمد بسيط بإظهار أن موقع صحيفة الأهرام المصرية يقوم بالتنقيب عن عملة مونيرو Monero الرقمية على أجهزة القراء. وأظهر الباحث أن التعدين الخبيث على أجهزة قراء الموقع كان قد استمر لعدة أيام على الأقل قبل اكتشاف الحادثة. بعد نشر التقرير توقف الموقع عن التعدين الخبيث فيما يشير بشكل غير قطعي إلى تورط القائمين على الموقع بعملية التعدين الخبيث.

تنقّل في الكتيب eBook Navigation

الفهرس Index

الفهرس الكامل Full Index

الهجمات الالكترونية المسيئة Malicicous Attacks

اقرأ أيضا See Also

مضادات الفيروسات Antivirus

الهندسة الاجتماعية Social Engineering

العملات الرقمية المشفّرة Cryptocurrencies

حقن سطور البرمجة Code Injection

اصطياد كلمات السرّ Passwords Phishing

مراجع References

How bitcoin mining works

What is cryptojacking? How to prevent, detect, and recover from it