Le cryptojacking, c’est-à-dire l’emploi non autorisé des ressources informatiques d’un tiers pour fabriquer (ou miner) de la cryptomonnaie, s’est hissé en tête des enjeux de sécurité informatique en 2018, que ce soit pour les entreprises ou les particuliers. Paolo Passeri, Global Solutions Architech chez Netskope, explique les facteurs à l’origine de ce basculement.
Une rentabilité accrue
Unis dans le minage… Sachant que la capitalisation boursière des cryptomonnaies avoisine les 500 milliards de dollars, le cryptojacking s’avère extrêmement intéressant pour les cybercriminels : il ne nécessite pas de compétences techniques poussées et, contrairement aux rançongiciels, offre une rentabilité potentielle de 100 %. Une fois compromise, la machine infectée peut aussitôt s’atteler au minage de cryptomonnaie en mode furtif, indépendamment de sa puissance de traitement ou de sa localisation géographique : même les systèmes d’entrée de gamme servent cette cause puisque c’est l’envergure du réseau de machines compromises et, par conséquent, la puissance de calcul totale qui importent vraiment. De plus, si les assaillants réfrènent leurs ardeurs et adaptent leur programme de minage de manière à ne pas ponctionner l’intégralité des ressources processeur (jusqu’à mettre hors service votre appareil sous Android), l’attaque peut se poursuivre par des moyens détournés et passer inaperçue durant un long moment.
Une surface d’attaque omniprésente
Une plateforme de minage unique… L’omniprésence de la surface d’attaque représente un autre aspect important. Qui que vous soyez, où que vous vous trouviez, le minage est à votre portée… Peu importe que le « mineur », ce composant malveillant, soit injecté dans un appareil mobile, un ordinateur personnel, un serveur, une instance dans le Cloud, voire un objet connecté (appareil photo, réfrigérateur ou ventilateur). Quel que soit le système d’exploitation, les assaillants peuvent tirer parti de ses cycles processeur à des fins illégitimes. Même des objets connectés dotés d’une puissance de traitement limitée peuvent faire l’affaire : le botnet Mirai nous a appris ce dont sont capables des réseaux IoT œuvrant de concert par milliers, simultanément. Et ce n’est pas une coïncidence si une variante a été testée pour le minage de cryptomonnaie ; ce même botnet a d’ailleurs donné naissance à Satori, un fork infectant les plateformes de minage pour mieux dérober les identifiants à leurs propriétaires. De fait, le piratage de multiples objets connectés s’avère lucratif : d’après de récentes estimationsn l’infection de 15 000 accessoires connectés à Internet permet de fabriquer l’équivalent de 1 000 dollars en cryptomonnaie en quatre jours seulement. Pas mal du tout, sachant que d’ici à 2020, il faudra composer avec plus de 20 milliards d’objets connectés.
Des mécanismes d’infections multiples
Tous les chemins mènent à la mine… La rentabilité élevée et l’omniprésence de la surface d’attaque ne sont pas les seuls facilitateurs du cryptojacking. Étant donné que des « mineurs » malveillants peuvent être injectés dans la quasi-totalité des appareils, de multiples vecteurs d’infections peuvent être utilisés : les attaques par force brute, les vulnérabilités non corrigées ou les sites web compromis (cryptominage furtif) font partie des techniques employées jusqu’à présent.
La compromission des serveurs s’exerce de diverses manières pour l’injection de « mineurs » : depuis les attaques « classiques » par force brute utilisant des authentifiants par défaut (exemple d’une campagne récente ciblant plusieurs milliers de sites Magento) jusqu’à l’exploitation de vulnérabilités non corrigées sur Oracle WebLogic (CVE 2017-10271), Apache Struts (CVE-2017-5638), DotNetNuke (CVE-2017-9822), OrientDB (CVE-2017-11467), Jenkins CI (CVE-2017-1000353), les serveurs JBoss (CVE-2017-12149) et Apache Solr (CVE-2017-12629), entre autres exemples.
Les vulnérabilités non corrigées servent également à la compromission de clients, créant de nouvelles machines esclaves pour les botnets cryptomineurs. Le botnet Smomirnu et le maliciel Wannamine sont deux exemples de menaces exploitant la triste célèbre vulnérabilité EternalBlue (CVE-2017-144) pour se propager. Même des logiciels malveillants existants peuvent être réécrits pour miner de la cryptomonnaie, ou pour ajouter cette « fonctionnalité » à d’autres.
En réalité, les postes clients sont encore plus exposés puisqu’ils peuvent miner des cryptodevises rien qu’en consultant une page web hébergeant un mineur JavaScript ; c’est le cas de Coinhive, qui mine une cryptomonnaie baptisée Monero (XMR). La principale raison est que, hormis la préservation de l’anonymat assurée par cette blockchain, l’algorithme servant au calcul des hashcodes, baptisé Cryptonight, a été conçu pour une exécution optimale avec des processeurs grand public (quelle coïncidence !). Une occasion bien trop favorable pour ne pas être saisie par des criminels constamment aux aguets, en quête de vulnérabilités leur permettant d’injecter Coinhive : Los Angeles Times et Blackberry Mobile sont deux exemples de sites web de renom ayant été compromis à cette fin en 2018. Sans parler des discrètes options d’opt-in proposées par Coinhive qui n’ont jamais été respectées dans ces cas de figure.
Pour autant, il ne s’agit là que de la partie émergée de l’iceberg, l’ampleur, l’omniprésence et la constance des campagnes de cryptominage pirate ne faisant que se renforcer au fil de vos pérégrinations sur Internet. Le mode opératoire aujourd’hui adopté par les cybercriminels est du même ordre que la publicité malveillante (minevertising), se caractérisant par l’injection de code Coinhive dans des publicités diffusées par des plates-formes telles qu’AOL ou Google DoubleClick (deux exemples se sont produits en 2018). Que l’utilisateur quitte la page compromise ou ferme son navigateur (ou, du moins, pense le fermer) n’a même aucune importance puisque le code malveillant peut être dissimulé dans une minuscule fenêtre non sollicitée s’affichant à l’arrière-plan (« pop-under »), derrière la barre des tâches Windows, le rendant omniprésent et invisible à l’utilisateur. Dans certains cas, des extensions malveillantes de navigateur ont également injecté(es)Coinhive directement dans ce dernier.
Le rôle du Cloud
Le soleil finit toujours par percer les nuages… Sur la liste des cinq attaques les plus dangereuses présentée par le SANS Institute lors de la dernière RSA Conference figurent à la fois les fuites de données stockées dans le Cloud et la monétisation des systèmes compromis via des cryptomineurs. Les fuites dans le Cloud sont souvent la conséquence de configurations inadéquates (autorisations inappropriées ou absence de protection adéquate par mot de passe). Outre le vol de données, ces mêmes erreurs de configurations peuvent être mises à profit par des escrocs pour faire monter en régime leurs propres instances et miner ainsi de la cryptomonnaie aux dépens de la victime, en ayant la quasi-certitude que cette dernière ne détecte rien. Du moins jusqu’à ce qu’elle reçoive sa facture d’électricité. La redoutable association des deux techniques d’attaques répertoriées par le SANS Institute a d’ores et déjà fait certaines victimes de renom, comme Tesla, dont le Cloud public a servi au minage de cryptomonnaie.
Il faut également composer avec d’autres risques. Les mineurs peuvent faire appel à des services Cloud connus pour s’infiltrer plus rapidement au sein des entreprises (l’équipe Netskope Threat Research Labs a mis au jour un mineur Coinhive résidant sur une instance Microsoft Office 365 OneDrive for Business), ou se soustraire à la détection (comme Zminer qui télécharge des charges utiles depuis le service de stockage cloud Amazon S3).