Kopią kryptowaluty na rosyjskich, rządowych komputerach. Hakerzy kpią z zakazów i zabezpieczeń

Rosyjskie agencje rządowe padły ofiarą masowego ataku cybernetycznego, w wyniku którego ich komputery zostały zainfekowane oprogramowaniem służącym do wydobywania kryptowalut. Zainfekowane systemy przez miesiące były wykorzystywane do generowania wirtualnych pieniędzy dla cyberprzestępców, podczas gdy władze starały się ograniczyć wydobycie kryptowalut poprzez zakazy wprowadzane w kolejnych regionach kraju.

Według danych opublikowanych przez dziennik "Kommiersant", powołujący się na Aleksieja Wiszniakowa, dyrektora technicznego centrum badań nad cyberzagrożeniami Solar 4RAYS, w czwartym kwartale 2024 roku liczba programów służących do nielegalnego kopania kryptowalut na dyskach twardych i SSD komputerów rządowych wzrosła o 9% w porównaniu do analogicznego okresu roku poprzedniego.

Obecnie tego rodzaju złośliwe oprogramowanie odpowiada za około 27% wszystkich wirusów, trojanów i innych szkodliwych aplikacji wykrywanych w rosyjskich instytucjach rządowych. Najczęściej infekcje wykrywane są w placówkach służby zdrowia i edukacji, gdzie kryptominery stanowią aż 24% całkowitej liczby wykrytych wirusów.

Zakazy i restrykcje

Rosyjskie władze starają się walczyć z niekontrolowanym wydobyciem kryptowalut, wprowadzając zakazy w kolejnych regionach. Pod koniec 2024 roku rząd zakazał wydobycia w dziesięciu regionach, głównie na Północnym Kaukazie, na okres do 2031 roku. Zakaz ten objął m.in. Dagestan, Inguszetię, Kabardyno-Bałkarię, Karaczajo-Czerkiesję, Osetię Północną, Czeczenię oraz zajęte ukraińskie regiony: Doniecką i Ługańską Republikę Ludową oraz obwody zaporoski i chersoński. Czasowe ograniczenia wprowadzono także w Buriacji i Kraju Zabajkalskim, gdzie wydobycie kryptowalut będzie wstrzymywane w okresach szczytowego zużycia energii.

Jak hakerzy infekują systemy rządowe?

Specjaliści do spraw cyberbezpieczeństwa podkreślają, że hakerzy nie potrzebują bezpośredniego dostępu do rządowych systemów, aby je zainfekować. Najpopularniejszą metodą ataku jest phishing, czyli wysyłanie fałszywych e-maili zawierających zainfekowane załączniki lub linki prowadzone do zainfekowanych stron internetowych.

Cyberprzestępcy stosują również bardziej zaawansowane techniki, takie jak ataki na łańcuchy dostaw, w których infekują legalne oprogramowanie jeszcze na etapie produkcji. Przykładem są wirusy wykryte w oprogramowaniu telewizorów dekodujących sygnał oraz rosyjskich smartfonów marki Digma w 2024 roku.

Hakerzy chętnie wykorzystują również fakt, że wielu Rosjan sięga po pirackie oprogramowanie. Wiele cracków i nielegalnych wersji popularnych aplikacji zawiera ukryte programy do wydobywania kryptowalut, które uruchamiają się po zainstalowaniu oprogramowania na komputerze ofiary.

Nowe techniki unikania wykrycia

Eksperci ostrzegają, że współczesne kryptominery stają się coraz trudniejsze do wykrycia. Hakerzy opracowali technologię, która pozwala ukrywać obciążenie systemowe w godzinach pracy urzędów, aby administratorzy sieci nie zauważyli nadmiernego zużycia zasobów.

Co więcej, niektóre programy wydobywające kryptowaluty działają jedynie w pamięci RAM, zamiast zapisywać się na dysku, co znacznie utrudnia ich wykrycie przez antywirusy. Inne podszywają się pod legalne aplikacje systemowe, przez co wykrycie ich wymaga zaawansowanych narzędzi analizy ruchu sieciowego.

"Na skalę przemysłową wirusy podszywają się pod legalne farmy wydobywcze, łącząc się z dotowanymi sieciami energetycznymi" – ostrzega Jarosław Seliwerstow, szef wydziału badań nad sztuczną inteligencją na Uniwersytecie 2035. Oznacza to, że problem kopania kryptowalut w sektorze publicznym będzie narastać, o ile nie zostaną podjęte zdecydowane kroki w zakresie poprawy zabezpieczeń i monitorowania infrastruktury IT w instytucjach rządowych.