Freejacking, yasa dışı kripto madenciliği gerçekleştirmek için genel bulut kaynaklarına ücretsiz veya sınırlı süreli erişim kullanma eylemidir – örneğin giriş niteliğindeki deneme teklifleri -.
Kampanyaya başlangıçta PurpleUrchin adı, bulut ve konteyner güvenliği uzmanı Sysdig’deki araştırmacılar tarafından verildi ve geçen yıl halka açık bazı konteynerleri ve bir Docker merkez hesabından kaynaklanan şüpheli faaliyetleri analiz ederken ortaya çıkardı.
O sırada Sysdig, Computer Weekly’nin kardeş sitesi SearchSecurity’ye araştırma ekibinin kampanyanın ne kadar süredir devam ettiğini tespit edemediğini söyledi. Ancak, Palo Alto Networks’ün Unit 42 ekibi, o zamandan bu yana, konteyner verileri ve sistem erişim günlükleri dahil olmak üzere 250 GB’ın üzerinde veriyi ve yüzlerce güvenlik ihlali göstergesini analiz etti ve artık kampanyaya ve arkasındakilere daha fazla ışık tutabiliyor.
Unit 42, Kasım 2022’de faaliyet zirvesine ulaşan PurpleUrchin’in 2019 gibi uzun bir süre önce kurulduğunu ve daha önce 2021’in ikinci yarısında oldukça aktif olduğunu söyledi.
Kampanyada, Automated Libra çetesi, bir restoranda sözde “ye ve koş”a benzeyen “oyna ve kaç” taktiklerini kullanarak çeşitli hizmet platformlarından bilgi işlem kaynaklarını çaldı ve burada sunulan kaynakları kullandılar. bitene kadar ve ardından bazı durumlarda hesap başına 200 dolara yakın olan faturalarını ödemediler.
Unit 42, Automated Libra’nın çalıntı veya sahte kredi kartlarını kullanarak GitHub, Heroku ve Togglebox gibi sınırlı kullanımlı platformlarda 130.000’den fazla sahte hesap oluşturabildiğini ve kullanabildiğini ve standart DevOps sürekli entegrasyon ve dağıtımını (CI/ CD) teknikleri, bu hesapları ayağa kaldırma ve bunları büyük ölçekte kripto madenciliği faaliyetleri gerçekleştirmek için çalıştırma işini otomatikleştirmeye yöneliktir.
Diğer şeylerin yanı sıra, sahte hesapları ayıklamak, oluşturulan hesap sayısını artırmak (bir noktada GitHub’da dakikada üç ila beş) ve farkında olmayan kurbanlar fark etmeden önce mümkün olduğunca fazla CPU zamanı kullanmak için tasarlanmış CAPTCHA’ları atlayabilir veya çözebilir hale geldiler. .
“Automated Libra, altyapısını CD/CI araçlarından en iyi şekilde yararlanacak şekilde tasarlıyor. Geleneksel VSP’ler gibi, bunu başarmak zaman içinde daha kolay hale geliyor. [virtual service providers] Unit 42 araştırmacıları William Gamanzo ve Nathaniel Quist, “Bulutla ilgili hizmetleri içerecek şekilde hizmet portföylerini çeşitlendiriyorlar” dedi.
“Bulutla ilgili hizmetlerin kullanılabilirliği, tehdit aktörlerinin uygulamalarını dağıtmak için altyapıyı sürdürmek zorunda kalmamaları nedeniyle işini kolaylaştırıyor. Çoğu durumda tek yapmaları gereken bir kapsayıcı dağıtmak.”
Gerçekten de, CI/CD tekniklerini kullanmak, yüksek modüler operasyonel ortamlar yaratarak operasyonlarının bileşenlerinin daha büyük ortamlarını etkilemeden arızalanmasına, güncellenmesine veya sonlandırılıp değiştirilmesine izin verebileceklerinden, beleşçiler için bir tür ustalık olmuş olabilir.
Gamanzo ve Quist, operasyonda kullanılan 40’tan fazla bireysel kripto cüzdan ve yedi kripto para veya jeton belirlediklerini söyledi. Ek olarak, kapsayıcı bileşenler, birden fazla ticaret platformunda yeni çıkarılan kripto para biriminin alım satım sürecini otomatikleştirmek için kullanıldı.
Sysdig araştırmasına göre çete, herhangi bir meşru kullanıcıyı gerçekten etkilemediği veya herhangi bir gerçek hesabı tehlikeye atmadığı için bir süre radarın altında kalmış olabilir.
Ancak, hizmet sağlayıcılar ücretsiz veya deneme hizmet katmanlarına ilişkin kuralları sıkılaştırırsa veya abonelik ücretlerini artırırsa, eylemleri nihai olarak gerçek kullanıcılara geri dönebilir. Sysdig, her ücretsiz GitHub hesabının GitHub’a ayda 15 ABD doları tutarında bir maliyeti olduğunu tahmin ediyor, bu nedenle Automated Libra’nın operasyonunu bu kadar iyi ölçeklendirebildiği göz önüne alındığında, bulut sağlayıcılarının maliyeti büyük olasılıkla önemli olacaktır.