Beapy to złośliwe oprogramowanie o łagodnej nazwie, które atakuje sieci komputerowe dużych firm i organizacji. Zamienia komputery w niewolników, bo zaprzęga ich moc obliczeniową do wydobywania kryptowalut (to cryptojacking). Sprzęt nieświadomych pracowników firmy nieco zwalnia, a Beapy, pracujący w tle i obciążający procesory, tworzy z nich zdalną kopalnię wirtualnych pieniędzy. Wydobyta kryptowaluta (najczęściej Monero) trafi później na konta hakerów.

Od marca Beapy zainfekował ponad 12 tys. komputerów w 732 organizacjach na całym świecie. Oprogramowanie zostało wykryte przez ekspertów cyberbezpieczeństwa z firmy Symantec, którzy stwierdzili, że 80 proc. dotychczasowych ataków miało miejsce w Chinach.

Szpiegowski soft i cyfrowa anarchia

Jak Beapy infekuje daną sieć? Używa do tego programów wykorzystujących błędy w innych programach, stworzonych przez amerykański wywiad, np. DoublePulsar i EternalBlue. Dwa lata temu kod źródłowy tych szpiegowskich narzędzi wykradła z amerykańskiej Agencji Bezpieczeństwa Krajowego grupa The Shadow Brokers i udostępniła w sieci.

Kiedy któryś z pracowników - ze starszym systemem Windows - otworzy specjalnie spreparowany mail, DoublePulsar na jego komputerze wykorzystuje stary, niezałatany błąd systemu, a EternalBlue rozsiewa Beapy po całej wewnętrznej sieci. Następnie haker rozpoczyna wydobywanie wirtualnych pieniędzy.

Z EternalBlue korzystał też ransomware WannaCry. W 2017 r. - w jednym z największych cyberataków w historii - robak zaszyfrował tysiące komputerów National Health Service (brytyjskiej służby zdrowia), Fedexu, Deutsche Bahn, policji w Indiach, ministerstw w Rosji czy uniwersytetów w Chinach i żądał za ich odblokowanie okupu w bitcoinach. O jego stworzenie oskarżono hakerów z Korei Północnej.

Epidemia cryptojackingu

Jednym z powodów, przez które od czterech lat spada liczba ataków dla okupu takich jak WannaCry, jest - jak twierdzą autorzy corocznego raportu CERT Orange Polska - epidemia cryptojackingu, czyli infekcji w rodzaju Beapy. Według ekspertów wykorzystywanie zainfekowanych komputerów do wydobywania kryptowalut bez wiedzy właścicieli sprzętu było najczęściej wykrywanym zagrożeniem w 2018 r.

Wydobywanie wirtualnych pieniędzy polega na sprawdzaniu przez komputer poszczególnych transakcji. A dokładniej, maszyny rozwiązują skomplikowane zadania matematyczne, a w zamian za moc obliczeniową i poświęconą energię są wynagradzane nowymi cyfrowymi monetami.

Początkowo każdy mógł wykorzystać swój komputer do „kopania”. Z czasem jednak - wraz z przyrostem liczby transakcji i wirtualnych monet  - wydobywanie kryptowalut zaczęło wymagać większych zasobów i przerodziło się w wyścig zbrojeń. Dziś cyfrowe pieniądze wydobywane są przez wielkie kopalnie kryptowalut (największe z nich mieszczą się w Chinach) wyposażone w potężne komputery i karty graficzne pracujące 24 godziny na dobę.

Żeby konkurować z profesjonalnymi kopalniami i nie płacić wysokich rachunków za prąd, hakerzy zaczęli przerzucać koszty wydobywania na nieświadomych użytkowników i tak narodził się cryptojacking. W takim ataku rozmiar szkody liczony na osobę - jeśli jest przeprowadzony dobrze - bywa niewielki (kilkadziesiąt złotych rachunku za prąd i spadek wydajności komputera).

Zwykłych użytkowników najczęściej atakują coinminery pracujące w przeglądarce internetowej i rozprzestrzeniające się przez zainfekowane strony. Rzadziej zdarzają się ataki wykorzystujące programy instalowane bezpośrednio na komputerze danej osoby.

„Ze względu na wzrost świadomości użytkowników i dopracowanie mechanizmów ochronnych spadła liczba skutecznych ataków prowadzących do zaszyfrowania danych i prób wyłudzenia okupu za ich odzyskanie. W całości spełniły się również przewidywania dotyczące koparek kryptowalut – początek 2018 r. przyniósł lawinowy wzrost prób infekcji oprogramowaniem typu CoinMiner” - piszą autorzy raportu.

Wg raportu Orange za skuteczność cryptojackingu odpowiada fakt, że nie jest on tak groźny jak ransomware: “Same infekcje nie były przez użytkowników postrzegane jako wyjątkowo szkodliwe, głównie ze względu na fakt, że straty w postaci spadku wydajności systemów nie były tak namacalne i często tak katastrofalne, jak utrata danych po ich zaszyfrowaniu.”

Od smartfonów po infrastrukturę krytyczną

Cyberprzestępcy coraz częściej biorą na cel też smartfony - mimo tego, że ich moc obliczeniowa jest dużo mniejsza niż komputerów. W efekcie w sklepie z aplikacjami na Androida dostępnych jest wiele aplikacji do kopania kryptowalut. Z raportu Orange wynika, że ponad 97 proc. wszystkich wykrytych w 2018 r. ataków na urządzenia mobilne dotknęło właśnie systemu Android. Jego większa otwartość pozwala twórcom złośliwego oprogramowania dużo łatwiej niż w przypadku aplikacji na sprzęt Apple’a wprowadzać aplikacje, które pozornie mają przyspieszać działanie telefonu, a w rzeczywistości wydobywają kryptowaluty.

Cryptojacking może też dotykać urządzeń i gadżetów z kategorii internetu rzeczy, w tym konsoli do gier, Xboxa czy PlayStation. Ofiarą padają też routery - hakerzy mogą generować kryptowaluty mocą wszystkich podłączonych do nich urządzeń. Jeśli przejmą router w szkole czy bibliotece - mają setki maszyn pracujących dla siebie.

Pojawiają się też pierwsze przypadki ataków na infrastrukturę krytyczną - firma cyberbezpieczeństwa Radiflow wykryła w ubiegłym roku złośliwe oprogramowanie wydobywające kryptowaluty w jednej z sieci monitorującej i kontrolującej wodociągi. Tego typu ataki mogą być najbardziej niebezpieczne, bo potrafią doprowadzić do awarii danego systemu.

A najsłabszym ogniwem zabezpieczeń może być sam człowiek - pracownicy z działów IT czy technicy mogą coraz częściej ulegać pokusie nielegalnego instalowania oprogramowania do cryptojackingu w firmach i organizacjach. Tak jak aresztowani rok temu rosyjscy naukowcy, którzy wydobywali bitcoiny na superkomputerze w tajnej jednostce wojskowej z głowicami nuklearnymi.

Trwa siódma edycja akcji „Po stronie klienta”

Podpowiadamy, jak bezpiecznie korzystać z usług internetowych, mediów społecznościowych i nowych technologii.

W czwartek, 13 czerwca, w godz. 13-14 odbędzie się dyżur telefoniczny w naszej redakcji. Na wasze pytania dotyczące bezpieczeństwa w sieci odpowie Robert Grabowski, Kierownik Wydziału CERT, ekspert Orange Polska.

Zainteresowanych pomocą eksperta prosimy o kontakt pod numer tel. (22) 444 40 54 lub mailowo: interwencje@wyborcza.pl

Zapraszamy też na: wyborcza.pl/postronieklienta