Le 6 juin, un journaliste de Forbes , Kashmir Hill, a publié un article sur un chercheur de la NSF qui a utilisé à mauvais escient des ressources de supercalculateurs financées par la NSF pour miner des bitcoins d'une valeur comprise entre 8 000 et 10 000 dollars. L'article mentionne un étudiant de l'Imperial College de Londres et un chercheur de l'université de Harvard qui auraient également utilisé les ordinateurs de leur université pour miner une monnaie virtuelle similaire appelée Dogecoin.
En tant que RSSI, votre première réaction est peut-être de dire qu'il faut mettre fin aux utilisations inappropriées des ressources de votre organisation, mais ce n'est probablement pas votre priorité absolue. Une personne qui utilise votre ou vos ordinateurs et votre réseau pour extraire de la monnaie virtuelle, c'est un peu comme si quelqu'un rechargeait sa voiture électrique à partir d'une prise de courant chez vous. Oui, cette personne utilise votre électricité sans autorisation ni remboursement. Cependant, il ne vole pas un objet de grande valeur et ne menace pas votre vie ou vos moyens de subsistance. Il s'agit néanmoins d'un phénomène qu'il est préférable de connaître et d'arrêter si possible.
Le minage de monnaies virtuelles n'est pas détecté par les produits de sécurité habituels
Les produits de sécurité habituellement utilisés par les entreprises ne détectent pas les activités illicites telles que le minage de monnaies virtuelles. Les ordinateurs qui extraient des monnaies virtuelles comme le bitcoin ou le dogecoin communiquent sur le port 80, que les pare-feu sont configurés pour laisser passer. Si une organisation utilise un système de prévention des intrusions (IPS), ces dispositifs peuvent utiliser la signature pour détecter le minage de monnaies virtuelles. Cependant, toutes les organisations n'utilisent pas un IPS et toutes les signatures ne sont pas toujours activées. Comme il existe des milliers de signatures, les équipes de sécurité les gèrent et les classent par ordre de priorité en fonction du risque commercial afin de garantir la performance du débit de l'IPS. Ainsi, même si vous disposez d'un IPS dans votre périmètre de défense, il se peut qu'il ne soit pas configuré pour trouver et arrêter la monnaie virtuelle.
On peut donc se demander s'il est vraiment important de détecter le minage de monnaies virtuelles. Avant de répondre à cette question, il est important de se rappeler que gagner de l'argent grâce au minage de monnaies virtuelles nécessite un grand nombre de cycles informatiques. Pour obtenir ces cycles, la personne qui pilote le processus de minage peut s'adresser à un bot herder qui contrôle des milliers d'ordinateurs infectés par l'intermédiaire d'un réseau de zombies.
Que faire si vous découvrez des activités de minage de cryptomonnaies ?
Si vous trouvez un ordinateur dans votre organisation en train de miner une monnaie virtuelle, soit le propriétaire de la machine a installé le logiciel de minage, soit le logiciel a été installé à son insu. Dans le premier cas, vous devez vous préoccuper des autres activités non autorisées auxquelles l'employé se livre avec son ordinateur. Dans le second cas, il est possible que d'autres appareils infectés se trouvent dans votre organisation et soient contrôlés par un bot herder. Ces ordinateurs infectés peuvent être utilisés aujourd'hui pour le minage de monnaie virtuelle, mais demain, ils pourraient être utilisés pour une attaque DDoS contre un moteur de recherche populaire, ce qui pourrait entraîner l'inscription de votre adresse IP sur une liste noire. Dans l'économie des attaquants, les réseaux de zombies représentent l'informatique originale de cloud , sauf que l'éleveur de zombies n'a pas payé pour les ordinateurs et le réseau qu'il loue.
Nos plateformes de la série X ont détecté le minage de bitcoins et d'autres monnaies virtuelles dans des réseaux et le processus de réflexion ci-dessus est l'un de ceux que nous avons vus chez nos clients. Les clients utilisent nos produits pour renforcer les défenses périmétriques telles que les pare-feu et les IPS afin d'identifier les logiciels malveillants et les attaques ciblées qui ont échappé au périmètre ou qui ont été introduits par la porte d'entrée sur des ordinateurs portables utilisés à l'extérieur du pare-feu de l'entreprise.
Pour en revenir à la question de savoir s'il est important de détecter le minage de bitcoins, le fait de ne pas disposer d'un système de sécurité capable de détecter le minage de monnaies virtuelles indique que vos défenses ne sont peut-être pas prêtes à détecter une attaque ciblée. Il est important d'avoir des systèmes de sécurité qui détectent tous les comportements malveillants et les signalent d'une manière qui vous permette de trouver des signaux parmi le bruit, de trier rapidement et de prioriser vos ressources limitées sur les risques les plus élevés.
Pour en savoir plus sur la façon dont Vectra Networks aide les clients à détecter et à trier rapidement les menaces et les attaques qui échappent aux défenses périmétriques, regardez Sam Kamran, CISO chez Riverbed, parler de son expérience. Pour en savoir plus sur le fonctionnement de Vectra , regardez une démonstration de 2 minutes.