Les criminels ont abusé des comptes cloud gratuits sur les fournisseurs de CI / CD pour exploiter les crypto-monnaies, mais la campagne de menace contient plus qu’il n’y paraît, ont averti les experts.
Les chercheurs en cybersécurité de Sysdig ont découvert plus de 30 comptes GitHub, 2 000 comptes Heroku et 900 comptes Buddy abusés dans une activité connue sous le nom de « freejacking » (piratage de comptes gratuits). Les chercheurs ont surnommé la campagne Purpleurchin et la décrivent comme une tentative d’exécuter des cryptomineurs « dans autant d’environnements que possible, avec le moins de contrôle possible ».
En utilisant des comptes gratuits, le coût de l’extraction de crypto-monnaies (qui est toujours relativement élevé) est transféré au fournisseur de services (dans ce cas, GitHub, Heroku et Buddy).
D’énormes dégâts
Après avoir analysé la campagne, les chercheurs de Sysdig ont estimé que chaque compte GitHub gratuit créé par Purpleurchin coûtait à la plateforme 15 $ par mois. Tout bien considéré, il en coûterait à la plate-forme environ 100 000 $ pour que l’acteur de la menace exploite un jeton Monero (un jeton vaut actuellement environ 150 $).
Mais les attaquants n’exploitent pas encore Monero. Ils essaient en fait d’exploiter un tas de pièces obscures, notamment Tidecoin, Onyx, Surgarchain, Sprint, Yenten, Arionum, MintMe et Bitweb. Apparemment, toute la campagne n’est guère rentable.
Cela a incité les chercheurs à croire que tout cela n’est encore qu’une expérience ou une tentative de prise en charge des blockchains sous-jacentes.
S’il s’agit d’une expérience, les acteurs de la menace la testent simplement pour voir si la méthode fonctionne, avant de passer à des jetons plus importants (tels que le bitcoin ou le monero). En ce qui concerne l’attaque de la blockchain – les réseaux de preuve de travail (sur lesquels les pièces peuvent être « minées », par opposition aux pièces de preuve de participation qui sont toutes pré-minées) peuvent être repris par une entité si elle peut contenir 51 %+ de la puissance de hachage (puissance de minage). Cela donnerait à cette entité la possibilité de faire reculer la blockchain, de s’engager dans des doubles dépenses, etc. Cependant, cela ferait également chuter le prix du jeton.
Les adresses auxquelles les mineurs doivent envoyer les jetons extraits sont cachées, ce qui rend impossible de déterminer le succès de la campagne ou d’identifier les attaquants.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)