À la différence d’un rançongiciel, ou ransomware, qui exige la participation des victimes, le cryptominage pirate, ou cryptojacking,est très difficile à détecter et s’exécute sur les systèmes informatiques quasiment à l’insu de leurs utilisateurs.

La cybercriminalité est une activité extrêmement lucrative : cette économie florissante génèrerait chaque année, si l’on en croit de récentes estimations, 1 500 milliards de dollars de recettes. Un montant astronomique dont les cybercriminels font leurs choux gras, d’autant plus que le retour sur investissement maximal est obtenu au prix d’un minimum d’efforts et que les risques de sanctions encourues sont quasi-nuls.

Dans ce contexte, il n’est guère surprenant que le cryptojacking, c’est-à-dire l’emploi non autorisé des ressources informatiques d’un tiers pour fabriquer (ou miner) de la cryptomonnaie, ait ravi au ransomwarela première place au classement des outils favoris des cybercriminels Le ransomware a en également souffert de la volatilité du BitCoin avec son modèle économique basé sur des attaques rapides et répétées ciblant des paiements modiques

Alliés à la recherche continue de nouvelles techniques d’attaques toujours plus rentables, ce contexte a hissé le cryptojackingen tête des enjeux de sécurité informatique en 2018, que ce soit pour les entreprises ou les particuliers. Examinons en détail les facteurs à l’origine de ce basculement.

Rentabilité accrue

Unis dans le minage… Sachant que la capitalisation boursière des cryptomonnaies avoisine les 500 milliards de dollars, le cryptojackings’avère extrêmement intéressant pour les cybercriminels : il ne nécessite pas de compétences techniques poussées et, contrairement aux rançongiciels, offre une rentabilité potentielle de 100 %. Une fois compromise, la machine infectée peut aussitôt s’atteler au minage de cryptomonnaie en mode furtif, indépendamment de sa puissance de traitement ou de sa localisation géographique : même les systèmes d’entrée de gamme servent cette cause puisque c’est l’envergure du réseau de machines compromises et, par conséquent, la puissance de calcul totale qui importent vraiment. De plus, si les assaillants réfrènent leurs ardeurs et adaptent leur programme de minage de manière à ne pas ponctionner l’intégralité des ressources processeur (jusqu’à mettre hors service votre appareil sous Android), l’attaque peut se poursuivre par des moyens détournés et passer inaperçue durant un long moment.

Surface d’attaque omniprésente

Une plate-forme de minage unique… L’omniprésence de la surface d’attaque représente un autre aspect important. Qui que vous soyez, où que vous vous trouviez, le minage est à votre portée… Peu importe que le « mineur », ce composant malveillant, soit injecté dans un appareil mobile, un ordinateur personnel, un serveur, une instance dans le cloud, voire un objet connecté (appareil photo, réfrigérateur ou ventilateur). Quel que soit le système d’exploitation, les assaillants peuvent tirer parti de ses cycles processeur à des fins illégitimes. Même des objets connectés dotés d’une puissance de traitement limitée peuvent faire l’affaire : le botnet Mirai nous a appris ce dont sont capables des réseaux IoT œuvrant de concertpar milliers, simultanément. Et ce n’est pas une coïncidence si une variante a été testéepour le minage de cryptomonnaie ; ce même botnet a d’ailleurs donné naissance à Satori, un fork infectant les plates-formes de minage pour mieux dérober les identifiants à leurs propriétaires. De fait, le piratage de multiples objets connectés s’avère lucratif : d’après de récentes estimationsl’infection de 15 000 accessoires connectés à Internet permet de fabriquer l’équivalent de 1 000 dollars en cryptomonnaie en quatre jours seulement. Pas mal du tout, sachant que d’ici à 2020, il faudra composer avec plus de 20 milliardsd’objets connectés.

Mécanismes d’infections multiples

Tous les chemins mènent à la mine… La rentabilité élevée et l’omniprésence de la surface d’attaque ne sont pas les seuls facilitateurs du cryptojacking. Étant donné que des « mineurs » malveillants peuvent être injectés dans la quasi-totalité des appareils, de multiples vecteurs d’infections peuvent être utilisés : les attaques par force brute, les vulnérabilités non corrigées ou les sites web compromis (cryptominage furtif) font partie des techniques employées jusqu’à présent. Jetez un œil à lachronologiedes cyberattaques relevées mensuellement, et vous serez surpris par la créativité dont font preuve les assaillants toujours soucieux de trouver de nouveaux moyens de perpétrer des attaques de type cryptojacking.

La compromission des serveurs s’exerce de diverses manières pour l’injection de « mineurs » : depuis les attaques « classiques » par force brute utilisant des authentifiants par défaut (exemple d’une campagne récente ciblant plusieurs milliers de sites Magento) jusqu’à l’exploitation de vulnérabilités non corrigées sur Oracle WebLogic (CVE 2017-10271), Apache Struts (CVE-2017-5638), DotNetNuke (CVE-2017-9822), OrientDB (CVE-2017-11467), Jenkins CI (CVE-2017-1000353), les serveurs JBoss (CVE-2017-12149) et Apache Solr (CVE-2017-12629), entre autres exemples.

Les vulnérabilités non corrigées servent également à la compromission de clients, créant de nouvelles machines esclaves pour les botnets cryptomineurs. Le botnet Smomirnu et le maliciel Wannamine sont deux exemples de menaces exploitant la triste célèbre vulnérabilité EternalBlue (CVE-2017-144) pour se propager. Même des logiciels malveillants existants peuvent être réécritspour miner de la cryptomonnaie, ou pour ajouter cette « fonctionnalité » à d’autres.

En réalité, les postes clients sont encore plus exposés puisqu’ils peuvent miner des cryptodevises rien qu’en consultant une page web hébergeant un mineur JavaScript ; c’est le cas de Coinhive, qui mine une cryptomonnaie baptisée Monero (XMR). La principale raison est que, hormis la préservation de l’anonymat assurée par cette blockchain, l’algorithme servant au calcul des hashcodes, baptisé Cryptonight, a été conçu pour une exécution optimale avec des processeurs grand public(quelle coïncidence !). Une occasion bien trop favorable pour ne pas être saisie par des criminels constamment aux aguets, en quête de vulnérabilités leur permettant d’injecter Coinhive : Los Angeles Timeset Blackberry Mobilesont deux exemples de sites web de renom ayant été compromis à cette fin en 2018. Sans parler des discrètes options d’opt-in proposées par Coinhive qui n’ont jamais été respectées dans ces cas de figure.

Pour autant, il ne s’agit là que de la partie émergée de l’iceberg, l’ampleur, l’omniprésence et la constance des campagnes de cryptominage pirate ne faisant que se renforcer au fil de vos pérégrinations sur Internet. Le mode opératoire aujourd’hui adopté par les cybercriminels est du même ordre que la publicité malveillante (minevertising), se caractérisant par l’injection de code Coinhive dans des publicités diffusées par des plates-formes telles qu’AOL ou Google DoubleClick (deux exemples se sont produits en 2018). Que l’utilisateur quitte la page compromise ou ferme son navigateur (ou, du moins, pense le fermer) n’a même aucune importance puisque le code malveillant peut être dissimulé dans une minuscule fenêtre non sollicitée s’affichant à l’arrière-plan (« pop-under »), derrière la barre des tâches Windows, le rendant omniprésent et invisible à l’utilisateur. Dans certains cas, des extensions malveillantes de navigateur ont également injecté(es)Coinhive directement dans ce dernier.

Rôle du cloud

Le soleil finit toujours par percer les nuages… Sur la listedes cinq attaques les plus dangereuses présentée par le SANS Institute lors de la dernière RSA Conference figurent à la fois les fuites de données stockées dans le cloud et la monétisation des systèmes compromis via des cryptomineurs. Les fuites dans le cloud sont souvent la conséquence de configurations inadéquates (autorisations inappropriées ou absence de protection adéquate par mot de passe). Outre le vol de données, ces mêmes erreurs de configurations peuvent être mises à profit par des escrocs pour faire monter en régime leurs propres instances et miner ainsi de la cryptomonnaie aux dépens de la victime, en ayant la quasi-certitude que cette dernière ne détecte rien. Du moins jusqu’à ce qu’elle reçoive sa facture d’électricité. La redoutable association des deux techniques d’attaques répertoriées par le SANS Institute a d’ores et déjà fait certaines victimes de renom, comme Tesla, dont le cloud public a servi au minage de cryptomonnaie.
Il faut également composer avec d’autres risques. Les mineurs peuvent faire appel à des services cloud connus pour s’infiltrer plus rapidement au sein des entreprises (l’équipe Netskope Threat Research Labs a mis au jour un mineur Coinhive résidant sur une instance Microsoft Office 365 OneDrive for Business), ou se soustraire à la détection (commeZminerqui télécharge des charges utiles depuis le service de stockage cloud Amazon S3).

Recommandations d’ordre général

Quelques mesures peuvent être prises pour contrer la menace grandissante du cryptojacking.

1. Régir l’usage du web au moyen d’une plate-forme de protection contre les menaces effective à plusieurs niveauxcomme Netskope for Web, capable d’unifier la sécurité SaaS, IaaS et web de manière centralisée.

2. Détecter les cryptomineurs dans le cloud et y remédier, au moyen d’une solution CASBsensible aux menaces telle que Netskope : veiller au respect de règles régissant l’utilisation de services non autorisés, ainsi que d’instances non autorisées de services cloud autorisés afin de bloquer les attaques hybrides sur plusieurs niveaux dès lors que la charge utile est téléchargée d’un service cloud.

3. Exemples de règles à faire appliquer :
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements non administrés afin d’y rechercher d’éventuels logiciels malveillants.
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements distants afin d’y rechercher d’éventuels logiciels malveillants. Analyser tous les téléchargements effectués à partir d’applications cloud non autorisées dans cette même optique.
• Analyser tous les téléchargements effectués à partir d’instances non autorisées d’applications cloud autorisées afin d’y rechercher d’éventuels logiciels malveillants. Appliquer des actions de mise en quarantaine/blocage sur la détection de logiciels malveillants afin de réduire l’impact côté utilisateurs.
• Bloquer les instances non autorisées d’applications cloud autorisées/connues afin d’empêcher les assaillants d’abuser de la confiance des utilisateurs dans le cloud. Si cette mesure peut sembler restrictive, elle limite considérablement les tentatives d’infiltration de malwares via le cloud.

4. Déployer une solution CASB capable de réaliser une évaluation de sécurité continueet d’effectuer un suivi de votre configuration IaaS/PaaS. Autrement dit de prendre en compte les configurations d’infrastructure inadéquates et les vulnérabilités susceptibles d’entraîner des compromissions et l’installation ultérieure de cryptomineurs, ou d’instances malveillantes destinées au minage de cryptomonnaie.

5. Bien évidemment, faire en sorte de mettre en place un processus de gestion efficace des correctifs pour les clients et les serveurs. Vérifier que l’antivirus d’entreprise est à jour, et que les dernières versions et les derniers correctifs sont installés.

6. Favoriser l’utilisation responsable des ressources de l’entreprise :
• Rappeler aux utilisateurs de ne pas exécuter de macros non signées, ni des macros provenant d’une source non fiable, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Rappeler aux utilisateurs de ne pas exécuter de fichier, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Mettre en garde les utilisateurs contre l’ouverture de pièces jointes, quels que soient les extensions ou noms de fichiers

7. Les bloqueurs de publicités ou extensions de navigateur comme NoScriptpeuvent contribuer à mettre obstacle au cryptominage pirate. Certaines extensions de navigateur publiées récemment peuvent bloquer des mineurs JavaScript comme CoinHive ; prenez soin, néanmoins, de n’installer des extensions dignes de confiance, celles qui se révèlent douteuses étant également couramment employées pour injecter des cryptomineurs à l’intérieur du navigateur directement.

8. Les administrateurs peuvent créer des règles de pare-feu pour bloquer les pools de bitcoins dont il est question dans l’article Wikipedia. (Paolo Passeri, Global Solutions Architech chez Netskope)