Metoda prin care un grup de hackeri români a încercat să se îmbogățească din criptomonede

Nebunia criptomonedelor, alimentată din plin de incertitudinea socială, a dus Bitcoin la sume record, iar pe unii oameni la pierderi imense. Totodată, țările în care minatul de criptomonede a devenit în sine o industrie se gândesc serios să oprească toată treaba asta. De exemplu, se estimează că în China interdicțiile vor duce la scăderea capacității de minare cu până 90 la sută. Universitatea din Cambridge vehicula că, în aprilie 2020, aceasta ar fi fost țara care asigura 65 la sută din capacitatea de „producție”. În lumea criptomonedelor nu e însă totul doar despre Bitcoin. Asta și pentru că moneda asta e tot mai greu de obținut. Așa că atenția s-a tot mutat către altele, în ultimii ani. 

Una dintre monede e Monero, care a prins ceva popularitate în 2018. Atunci, site-ul live.antena3.ro rula un script prin care cei care îl accesau generau bani pentru cine rula scriptul respectiv. Poziția oficială a Antena 3 a fost că era vorba de mâna unor hackeri. Acum moneda revine în atenție. Nu mai e vorba de un site, dar e vorba de români. Mai precis, un grup de hackeri români care au rulat o aplicație de minat Monero pe servere din întreaga lume. 

În acest caz, atacatorii au creat un program care, pur și simplu, ghicește parole. Dar nu pentru că ar fi el prea bun, ci pentru că parolele sunt, în general, proaste. Însă acestea erau folosite la protocolul prin care se face conectarea de la distanță la un server. Așa că hackerii s-au conectat și ei de la distanță și și-au văzut de treabă. Ei și-au denumit și programul cu un nume care acum pare un pic ironic: „diicot brute”. Mă rog, are un pic de sens, că tehnica prin care „ghicești” parole e denumită „brute force”.

Grupul respectiv a fost demascat de specialiști Bitdefender, iar operațiunea în sine nu a fost de lungă durată; investigația a început în mai 2021. Cum au fost hackerii găsiți? Printr-un honeypot, adică un sistem expus pe internet fix cu intenția de-a atrage atacatori. Și-a funcționat. 

Pe de o parte, atacul grupului român nu avea preferințe în ceea ce privește țările, aplicația de scanare funcționa la nivel global și căuta orice țintă cu parolă slabă. Totuși, cei care au lucrat la treaba asta au folosit și niște jonglerii cu cuvinte românești, de la useri la fișiere. Oricum, le găsești pe toate și mai în detaliu în analiza făcută de Bitdefender.

În cazul de-acum e vorba de servere pe Linux folosite pentru minat. Dar ce-am vrut eu să aflu, de fapt, e dacă aș putea deveni victimă într-o așa schemă. Nu că n-aș avea încredere în parolele mele, dar nu toate sunt excepționale. 

Silviu Stahie, specialist în securitate informatică la Bitdefender, mi-a zis că cel puțin când vine vorba de telefon pot sta doar un pic mai liniștit. Din 2018, Google și Apple au interzis în magazinele lor aplicațiile de minat criptomonede. Astfel, atacatorii au început să le „strecoare” în magazinele astea cu alte funcționalități, iar minarea era ceva secundar. „Au existat și o serie de atacuri și campanii în care atacatorii găseau diverse metode ca să convingă oamenii să instaleze aplicații, de cele mai multe malware, din afara magazinelor oficiale. Dar chiar și această metodă a devenit mult mai rară”, a explicat Silviu pentru VICE.

Din fericire (sau din păcate pentru cei care visau la averi făcute, la propriu, peste noapte), folosirea telefoanelor sau tabletelor pentru minare nu mai este eficientă. Procesul ăsta necesită o putere de procesare mare pe care dispozitivele astea nu o pot oferi. Așa că nici la tine, nici la hackeri nu-i un câștig prea mare. „Totuși, atacatorii și-au dat seama că e mult mai ușor să păcălești oamenii care vor să mineze de pe telefoane și-au dezvoltat aplicații care au alte funcții nocive, cum ar fi furtul de date personale, în timp ce victimele cred că minează criptomonede”, a completat Silviu.

În cazul grupului de hackeri de-acum, aceștia ținteau direct servere. Că astea-s mult mai performante decât telefonul tău. Ai crede, cum am presupus și eu, că sunt și mai sigure decât un calculator personal. În aparență, nu, că tot de oameni sunt administrate. 

Silviu mi-a spus că, deși acum e vorba de sisteme Linux, atacurilor de tipul ăsta nu le prea pasă de platforma software. Asta în caz că mai credea în robustețea Linux sau în invincibilitatea macOS. „Fiecare platformă vine cu problemele sale de securitate, lucru influențat în mod evident de cota de piață a fiecărui sistem de operare. Există însă o caracteristică oarecum comună tuturor”, a detaliat Silviu. „În multe situații, atacatorii se bazează pe cooperarea oamenilor care, de multe ori, participă involuntar la compromiterea propriilor sisteme. Infectarea unui sistem de operare fără aportul posesorului acelui dispozitiv este o operațiune dificilă, însă devine mult mai ușoară când convingi victima - prin social engineering, phishing și altele - să îți ofere acces de bunăvoie sau când sunt folosește credențiale slabe.”

În situația asta, ce-a făcut grupul, în esență, a fost să se conecteze la distanță prin protocolul SSH (Secure Shell). Și acesta e comun pentru multe dispozitive, chiar și cele care fac parte din ceea ce numim „smart home”. „Esențial aici e că nu toți administratorii de sistem adoptă practicile de securitate recomandate. Unii aleg o parolă SSH simplă ca să aibă acces mai ușor, alții lasă parola implicită sau aleg una slabă. Ca toate parolele, aceasta trebuie să fie complexă, preferabil cu numere și caractere speciale, și unică, adică să nu mai fie folosită la alte servicii online sau pe alte dispozitive”, a explicat Silviu. 

Dacă rămâi fie și doar cu o idee după articolul ăsta, măcar să fie asta: alege parole tari sau lasă un generator de parole s-o pună în locul tău, iar tu doar ține minte parola de la acel generator. Însă asta nu-i tot când vine vorba de criptomonede, așa că profit de ocazie să mai clarific niște credințe.

O critică la adresa Bitcoin e că permite finanțarea activităților ilegale, mai ales pentru că nu poate fi urmărită. Totuși, Monero ar putea fi ceva mai ofertantă în zona asta - în caz că erai curios. 

Asta pentru că Bitcoin, de exemplu, are un blockchain public (te poți gândi la el ca la un registru) în care este mult mai ușor de urmărit cine a trimis banii, unde se duc și ce conține portofelul digital al fiecărui participant la tranzacții. La Monero, aceste detalii sunt ascunse. Totuși, dincolo de diferențierea prin gradul de intimitate, criptomonedele mai sunt diferențiate și prin felul în care le poți obține, dacă nu te bagi în investit și speculă.

În cazul Bitcoin, după cum mi-a spus Silviu, când a fost creat putea fi minat foarte bine pe calculatoare personale cu folosirea plăcii video și a procesorului. „Acum, Bitcoin este majoritar minat prin sisteme ASIC (Application-Specific Integrated Circuit), adică sunt special create pentru acest scop. Până de curând, Ethereum era preferata minerilor, pentru că puteau folosi plăci video puternice (ceea ce-a dus la o explozie a prețurilor - n.r.), dar măsurile luate în China împotriva acestui tip de activitate a scăzut cu 50 la sută numărul de mineri de Ethereum”, a adăugat Silviu. E posibil ca Ethereum 2.0 să aibă ceva tracțiune, pentru că promite să fie mult mai eficient când vine vorba de consumul de energie electrică.

În acest context, reiau o idee de la început, telefonul tău nu-i deloc performant. Da, uită-te la el, ai spart circa o mie de euro pe el și nici măcar nu-ți poți scoate investiția prin minarea diverselor monede digitale. Tocmai de-aia, mai ales cu cazul românilor, vezi atacatori care se concentrează pe compromiterea unor sisteme mult mai puternice.

De protecție are însă nevoie toată lumea și nu-i exclus să ajungi pe site-uri care să aibă un script pentru Monero sau ce altceva mai apare și să-ți pună telefonul sau calculatorul la muncă. Asta în timp ce tu crezi că-i timpul pentru unul nou. Așa că l-am întrebat pe Silviu cum te protejezi de-așa ceva și dacă ajută la așa ceva o soluție de securitate. 

Vestea bună e că sistemele de securitate moderne sunt mult mai eficiente în a prinde atacuri, chiar dacă semnăturile lor nu sunt cunoscute. „Pot doar să vorbesc de ce facem noi și în cazul acesta, printr-o combinație de machine learning (inteligență artificială, dacă vrei să sune bine - n.r.), protecția unui sistem, fie si server, este mult mai eficientă. Mai mult, imediat ce fișierele au fost identificate ca malware, ele sunt adăugate într-o bază de date globală a Bitdefender. Astfel, toate dispozitivele care rulează soluția de securitate vor fi protejate imediat”, a explicat Silviu.

Vestea proastă e că, de multe ori, treaba ține și de tine. Așa că poți să pornești de la parole, să le faci mai bune, să mai ștergi din aplicațiile pe care nu le folosești și nu știi precis cine le-a făcut, să nu intri pe site-uri dubioase de pe calculatorul sau telefonul tău „de bun” și să nu bagi datele cardului unde n-ar trebui. Și fii atent la cum îți merge sistemul, că dacă nu duce nici două pagini web e un semn destul de bun că fie trebuie schimbat, fie altcineva face bani pe seama ta și nu-ți dă comision.