Майнинг — все еще серьезная угроза для бизнеса

Как показывает недавнее исследование, несмотря на падение курса многих криптовалют и уход одной из крупнейших криптомонет, Ethereum, от добычи при помощи майнинга, вредоносные майнеры продолжают оставаться угрозой для бизнеса. Больше всего проблем такие зловреды способны создать компаниям, активно использующим облачную инфраструктуру. Разбираемся, чем именно опасен майнинг и как защитить от него корпоративные вычислительные мощности.

Майнинг умер, да здравствует майнинг

Многие предрекали окончание майнинговой лихорадки в тот момент, когда Ethereum, одна из наиболее влиятельных криптовалют, перейдет с подтверждения транзакций при помощи метода proof-of-work (доказательство выполнения работы) к методу proof-of-stake (доказательство доли владения). Первый метод требует огромного количества вычислительных ресурсов, в то время как для второго нужно значительно меньше как участников, так и вычислений — он где-то в несколько тысяч раз эффективнее. Соответственно, с отказом от proof-of-work майнинг мог бы в теории потерять в популярности в тысячи раз.

Долгожданный переход произошел недавно, 15 сентября, и в какой-то мере он действительно снизил популярность майнинга. Например, видеокарты, при помощи которых в основном и добывался «эфир», заметно подешевели и заполонили вторичный рынок. Предприниматели, занимавшиеся легальным майнингом, начали либо переходить на добычу других криптовалют, либо распродавать свои вычислительные системы, либо придумывать для них другое применение. Однако у злоумышленников, занимающихся вредоносным майнингом за чужой счет, такого снижения активности не наблюдается.

Дело в том, что они не слишком-то и фокусировались на добыче Ethereum — среди них эта валюта по популярности всего лишь на третьем месте. Вместо этого они предпочитали добывать другую криптовалюту — Monero, гарантирующую им полную анонимность транзакций. Monero, во-первых, по-прежнему добывается путем майнинга, а во-вторых, не требует видеокарт. Эту криптовалюту эффективнее всего добывать на обычных центральных процессорах, которые, в отличие от мощных видеокарт, есть в любых компьютерах. Наиболее мощные экземпляры стоят в серверах — и, как следствие, привлекают злоумышленников больше всего.

В чем опасность майнеров для бизнеса

Мы уже говорили о том, какие неприятности могут доставить майнеры для обычного пользователя:

• высокие счета за электричество;
• замедление работы системы, вызваемое высокой нагрузкой на процессор и видеокарту.

Может показаться, что это все ерунда: многие все равно держат компьютеры постоянно включенными, а «тормоза» воспринимают как неизбежность. Но для бизнеса вредоносный майнинг может быть значительно неприятнее:

• ускоряется износ оборудования, приводящий к его преждевременному выходу из строя (это, конечно, актуально и для частных пользователей, но по бизнесу все равно бьет сильнее);
• повышается нагрузка на серверы компании, которая практически как DDoS-атака, может привести к недоступности сервисов для пользователей, что чревато убытками;
• повышаются расходы на облачную инфраструктуру. И это тоже совсем не шутки — когда в конце месяца Amazon, Google или Microsoft списывает с со счета сумму, в которой на один ноль больше, чем заложено в бюджете, это значительно отражается на балансе компании. Согласно отчету Google, в 86% случаев после успешной компрометации учетной записи в Google Cloud Platform злоумышленники занимались именно установкой майнеров. При этом затраты на добычу криптовалюты в облачной инфраструктуре в среднем в 53 раза превышают выручку, но злоумышленников это, конечно же, не останавливает — расходы-то несут не они.

Майнеры — страшная угроза для инфраструктурных провайдеров

Страшнее всего атаки майнеров бьют по компаниям, которые не просто используют облачную инфраструктуру, а предоставляют своим клиентам сервисы, построенные в облаках крупных провайдеров. Особенно если это провайдеры IaaS (Infrastructure-as-a-Service) или PaaS (Platform-as-a-Service).

Отличие таких бизнесов от остальных заключается в том, что им следует опасаться не только зловредных майнеров, проникающих в инфраструктуру скрытно, но и обычных, легальных.

Если компания предоставляет инфраструктуру или платформу как сервис, то ее клиенты обладают некой степенью свободы в использовании этой инфраструктуры или платформы: могут в целом использовать ее так, как им заблагорассудится, запускать различные приложения, и в том числе — майнеры.

Иногда сервисы такого рода предоставляют некоторое количество ресурсов в рамках бесплатной учетной записи. Злоумышленники создают в таких сервисах сразу множество учеток и запускают из-под них майнеры, но ограничивают расход ресурсов, так чтобы не превысить бесплатный лимит. Атака с сотнями таких учеток может создавать чудовищную нагрузку на серверы, выводя сервис из строя и значительно повышая расходы компании на инфраструктуру. При этом обнаружить такую атаку инфраструктурному провайдеру может быть сложнее, чем, например, SaaS-компании, так как он не всегда может видеть все запущенные клиентами процессы в силу собственной же политики конфиденциальности.

Как бизнесу бороться с майнерами

Изложенного выше достаточно, чтобы понять — бизнесу нельзя просто игнорировать майнинг на своих мощностях. Его в идеале надо предотвращать, а если уж допустили — немедленно обнаруживать и останавливать.

По данным того же исследования Google, в большинстве случаев компрометация серверов происходила из-за слабых паролей и недостаточно жесткого контроля доступа. Так что именно доступам к вычислительным ресурсам надо уделять максимум внимания.

• Везде использовать надежные и уникальные пароли.
• В обязательном порядке использовать для доступа к ресурсам облачных провайдеров двухфакторную аутентификацию (если пароль утечет или его смогут подобрать, без второго фактора злоумышленники не смогут получить контроль над учетной записью).
• Ограничивать доступ к управлению инфраструктурой — чем у меньшего числа сотрудников есть права доступа с высокими привилегиями, тем меньше шансов, что доступ будет скомпрометирован.
• Использовать защитные решения, позволяющие обнаруживать подозрительную активность как на физических устройствах, так и в виртуальных машинах.

Для IaaS- и PaaS-провайдеров в дополнение к вышеперечисленному добавим следующие советы.

• Необходимо иметь возможность так или иначе наблюдать за деятельностью пользователей: если не мониторить активные процессы на уровне виртуальных машин, пресекая исполнение идентичных скриптов разными пользователями, то хотя бы следить за тем, чтобы один и тот же репозиторий не использовался несколькими разными учетными записями.
• Следует настроить систему оповещения о нетипичной активности и завести специалистов, которые могут быстро отреагировать на такие уведомления.
• Нужно уделять повышенное внимание своевременному устранению уязвимостей в программном обеспечении, отвечающем за инфраструктуру или платформу, так как злоумышленники также часто используют их для компрометации систем и установки майнеров.