De securityonderzoek en -adviestak van Palo Alto Networks, Unit 42, deelt details over PurpleUrchin. Dat is een malafide campagne om cryptomining-activiteiten uit te voeren via accounts voor een gratis proefperiode op cloudplatformen. Ze omzeilen onder meer de reactietest en maken zo geautomatiseerd tienduizenden accounts aan.
De Amerikaanse netwerkbeveiliger noemt de groep Automated Libra en ontdekte dat het hackerscollectief meer dan 130.000 accounts heeft aangemaakt op verschillende platformen, waaronder Heroku, Togglebox en GitHub.
Bij GitHub gebruikte de groep een optie om accounts automatisch aan te maken waarbij captcha-afbeeldingen omzeild worden met behulp van eenvoudige beeldanalysetechnieken. Captcha is een reactietest om te onderscheiden of een account wordt aangemaakt door een mens of door computer. Het gaat bijvoorbeeld om een reeks van cijfers en letters die ter verificatie moet worden overgetypt.
Unit 42 verzamelde meer dan 250 GB aan containerdata die voor de PurpleUrchin-operatie waren aangemaakt en ontdekte dat de dreigingsactoren achter deze campagne tijdens het hoogtepunt van hun operaties in november 2022 elke minuut drie tot vijf GitHub-accounts aanmaakten.
‘Freejacking’ en ‘pPlay and run’
De dreigingsactoren konden cryptomining uitvoeren via een tactiek die ‘freejacking’ wordt genoemd, waarbij de actoren gebruikmaken van cloudplatformen die cloudresources voor een proefperiode aanbieden. Ze maakten waarschijnlijk valse accounts aan met gestolen of valse creditcards. De groep stal ook cloudbronnen van verschillende platforms voor clouddiensten via een tactiek die Unit 42-onderzoekers ‘play and run’ noemen. Daarbij gebruiken kwaadwillenden clouddiensten en weigeren ze om te betalen zodra de rekening komt.
De security-onderzoekers zagen ook dat de cybercriminelen de capaciteit van de cloudplatformen optimaliseerden door gebruik te maken van devops-automatiseringstechnieken zoals continue integratie en continue ontwikkeling. ‘Ze bereikten dit door het aanmaken van gebruikersaccounts op cloudplatformen te ontwikkelen via containers en door hun cryptominingoperaties te automatiseren. Ze automatiseerden ook het proces voor het aanmaken van containers, zodat de nieuwe accounts die ze aanmaakten, werden gebruikt bij de mining-activiteiten.’
Cryptojacking
Het kapen van rekenkracht voor het delven van cryptomunten neemt sinds 2020 enorm toe. Er zijn meerdere methoden om dat te doen en dat gebeurt bijvoorbeeld ook via trojans die vaak ongezien de servercapaciteit van grote bedrijfsnetwerken kapen.
