Cryptojacking

Nieautoryzowane wykorzystanie cudzego urządzenia do kopania kryptowalut, zwykle bez wiedzy właściciela, co spowalnia sprzęt i zwiększa zużycie energii.

Cryptojacking to nieautoryzowane wykorzystanie cudzego sprzętu — komputera, serwera, telefonu, a nawet kontenera w chmurze — do kopania kryptowalut bez wiedzy i zgody właściciela. Atakujący nie kradnie plików ani haseł; kradnie Twoją moc obliczeniową i prąd. Efekt? Sprzęt mquli, wentylatory wyją jak startujący dron, bateria pada w godzinę, a rachunek za chmurę nagle wygląda, jakbyś hostował Netflixa.

Jak to działa

Sednem jest cudzy miner uruchomiony na Twoim urządzeniu. Są dwa główne warianty. Pierwszy to cryptojacking w przeglądarce (drive-by mining): złośliwy JavaScript na stronie albo w reklamie odpala kopanie w karcie, dopóki masz ją otwartą. Drugi to malware-based — atakujący wgrywa stały proces na maszynę przez podatność, słaby SSH, wykradziony klucz API albo zatruty obraz Dockera, i kopie w tle nawet po zamknięciu przeglądarki.

Najczęściej kopana jest Monero (XMR), bo jest projektowana pod CPU (algorytm RandomX), trudna do prześledzenia i nie wymaga drogich kart graficznych. Pojedyncza zainfekowana maszyna daje grosze, ale tysiące przejętych urządzeń w botnecie albo darmowa moc z czyjegoś AWS-a to już realny biznes — za który płacisz Ty.

Przykład z praktyki

Klasyk to XMRig — legalny, open-source’owy miner Monero, który atakujący nadużywają jako gotowe narzędzie. Typowy scenariusz: ktoś znajduje publicznie wystawiony serwer ze słabym hasłem, wrzuca skrypt z cron-jobem i odpala coś w stylu:

./xmrig -o pool.minexmr.com:4444 -u WALLET_ADDRESS --background

Pierwszym sygnałem zwykle jest CPU przyklejone do 100% bez powodu. Sprawdzasz top albo htop, widzisz nieznany proces żrący wszystkie rdzenie, i albo nazywa się wprost xmrig, albo udaje coś niewinnego typu kworkerds. W przeglądarce odpowiednikiem był głośny Coinhive — skrypt do kopania Monero w kartach odwiedzających, masowo nadużywany do 2019 roku, gdy projekt zamknięto.

Na co uważać

Najczęstszy mit: „kto by tracił czas na kopanie groszy na moim laptopie”. Cryptojacking opłaca się właśnie dlatego, że jest masowy i tani — koszty (prąd, zużyty sprzęt) ponosi ofiara, nie atakujący. Drugi błąd to ignorowanie chmury: przejęty token albo otwarty endpoint potrafi w jedną noc napompować rachunek za GPU o tysiące złotych. Reaguj na objawy: stałe 100% CPU, gorący sprzęt na biegu jałowym, padająca bateria, połączenia do znanych pul kopania. Blokuj minery na poziomie sieci i DNS, łataj podatności i nie wystawiaj usług bez uwierzytelniania.

Pojęcia powiązane: malware, botnet, Monero, drive-by download, supply chain attack, command and control (C2), endpoint detection and response (EDR).