التعدين الخفيّ (Crypto Jacking) هو الاستخدام غير المشروع لحاسوب شخص آخر بهدف تعدين العملات المشفرة. يفعل القراصنة ذلك إما عن طريق إرسال روابط خبيثة إلى الضحية عبر البريد الإلكتروني تؤدي إلى تحميل أكواد تعدين للعملات المشفرة على حاسوبه، وإما عبر إصابة موقعٍ أو إعلانٍ بكود جافا يعمل تلقائياً بمجرد تحميله على متصفح الضحية.

 

في الحالتين، يعمل كود التعدين في الخلفية بينما يستخدم الضحية حاسوبه كالمعتاد دون أن يشك في شيء. الإشارة الوحيدة التي قد يلحظها هي بطء أداء الحاسوب.

 

لماذا استخدام التعدين الخفيّ في ازدياد؟


لا يعرف أحد بالضبط كمية العملات المشفرة التي تُعدَّن عبر التعدين الخفيّ، لكن لا شك أنه مستخدم بكثرة. تنمو معدلات التعدين الخفيّ عبر متصفحات الإنترنت بسرعة كبيرة. ففي نوفمبر/تشرين الثاني الماضي، نشرت شركة آد جارد Adguard المتخصصة فى منع الاعلانات وبرامج التعدين الخفية تقريراً ذكرت فيه أن التعدين الخفيّ عن طريق متصفحات الإنترنت ارتفع بنسبة 31%. ووجدت الدراسة أن 33 ألف موقع يستخدم نصوصاً برمجية تعدين عملات مشفرة، وقدَّرت عدد زوار تلك المواقع مجتمعةً بحوالي مليار زيارة شهرياً. وفي فبراير/شباط الماضي، كشفت دراسة أجراها موقع باد باكيتس Bad Packets عن استخدام 34474 موقع يستخدم كوينهايف Coinhive، وهو أشهر مُعدِّن بلغة جافا ويستخدم كذلك في التعدين المشروع.

 

يقول مارك لاليبرتي، محلل المخاطر بشركة حلول الأمن الشبكي ووتش جارد تكنولوجيز WatchGuard Technologies: “ما يزال تعدين العملات المشفرة في بدايته. وتوجد مساحة كبيرة للنمو والتطور”. ويضيف أن كوينهايف Coinhive  سهل الاستخدام، وتمكن من جمع 300 ألف دولار في أول شهر له. “لقد زاد استخدامه بسرعة منذ ذلك الحين، إنه استثمار سهل حقاً”.

 

وفي يناير/كانون الثاني، اكتشف الباحثون شبكة البوت المسماة سمومينرو Smominru، التي أصابت أكثر من نصف مليون حاسوب، أغلبها في روسيا، والهند، وتايوان. استهدفت شبكة البوت خوادم نظام التشغيل ويندوز windows لتعدين عملة المونيرو Monero، وقدرت شركة بروف بوينت Proofpoint للأمن السيبراني أن الشبكة عدَّنت عملات مشفرة تصل قيمتها إلى 3.6 مليون دولار بحلول شهر يناير/كانون الثاني.

 

كما لا يتطلب التعدين الخفيّ مهارات تقنية خاصة. فوفقاً لتقرير نشرته شركة Digital Shadows عن الاحتيال في سوق العملات المشفرة، أدوات التعدين الخفيّ متاحة على الإنترنت العميق بأسعار بخسة تبدأ من 30 دولاراً.

 

السبب البسيط لانتشار التعدين الخفيّ بين القراصنة هو كثرة الأموال وقلة المخاطرة. يرى أليكس فايستيك، مدير التكنولوجيا وأحد مؤسسي شركة سيك بي آي SecBI، أن “القراصنة يعتبرون التعدين الخفيّ بديلاً أرخص وأكثر ربحاً من برمجيات الفدية (Ransomware)”. ويوضح أن قراصنة الإنترنت يمكنهم عن طريق برمجيات الفدية أن يحصلوا على فدية من 3 أشخاص فقط من بين كل 100 حاسوب يخترقونه. لكن كل تلك الحواسيب ستعدن العملات المشفرة لصالحه إذا استخدم التعدين الخفيّ. ويضيف فايستيك: “قد يربح القرصان المبلغ نفسه من الفديات الثلاثة، لكن تعدين العملات المشفرة يدر المال باستمرار”.

 

وعلاوة على أن خطر كشف القرصان والقبض عليه أقل بكثير من حالة برمجيات الفدية. إذ يعمل كود تعدين العملات المشفرة خلسةً وقد يبقى كذلك لفترة طويلة دون أن يُكشَف. وإذا اكتُشِف، من الصعب تعقب مصدره، ولا يوجد ما يدفع الضحايا لفعل ذلك، فلم يسرق المهاجم منهم شيء ولم يُشفِّر محتوى أجهزتهم. ويميل القراصنة لتفضيل العملات المشفرة الأقل شهرة مثل المونيرو والزد كاش Zcash على عملة البيتكوين الأشهر لأن العملات الأقل شهرة أصعب في تعقب الأنشطة غير القانونية.

 

كيف يعمل التعدين الخفيّ

 

يمتلك القراصنة طريقتان أساسيتان لتعدين العملات المشفرة على حاسوب الضحية خلسةً. الأولى هي خداع الضحايا ليحمِّلوا كود تعدين عملات مشفرة على حواسيبهم. ويتم ذلك من خلال أساليب تشبه التصيد: يتلقى الضحايا بريداً إلكترونياً يبدو عادياً يشجعهم على النقر على رابط ما. يشغِّل الرابط الكود الذي يحمِّل سكريبت التعدين على الحاسوب. ثم يعمل الكود في الخلفية في أثناء استخدام الضحية.

 

والطريقة الأخرى هي حقن الكود في موقع أو إعلان منشور في عدة مواقع. بمجرد زيارة الضحية للموقع أو فتح الإعلان في متصفحه، يعمل السكريبت تلقائياً، دون تخزين أي كود على حاسوب الضحية. إذ يجري الكود في الطريقتين عمليات حسابية معقدة على حاسوب الضحية ويرسل النتائج مباشرة لخادم يتحكم فيه المخترق.

 

عادة يستخدم المخترقون الطريقتين ليزيدوا من أرباحهم. يقول فايستيك: “تُستخدم في الهجمات حيل قديمة لتشغيل البرمجيات الخبيثة لترسل برامج أكثر موثوقية واستمرارية لحاسوب الضحية كخطة بديلة”. على سبيل المثال، من بين الأجهزة المئة التي تعدِّن العملات المشفرة للقرصان، 10% فقط قد تحقق أرباحاً من كودٍ على حاسوب الضحية، بينما تؤدي 90% مهمتها عن طريق متصفحات الإنترنت.

 

على عكس باقي أنواع البرمجيات الخبيثة، لا تضر أكواد التعدين الخفيّ بحاسوب الضحية أو بياناته، بل تسرق قدرات المعالجة من وحدة المعالجة المركزية (CPU). وبطء أداء الحاسوب قد لا يشكل أكثر من إزعاجٍ بسيط للمستخدمين الأفراد. لكن المؤسسات المصابة أنظمتها بالتعدين الخفيّّ ستتكبد خسارة وقت فريق الدعم الفني بها في تعقب مشاكل الأداء وتغيير العناصر أو الأنظمة أملاً في حل المشكلة.

 

أمثلة واقعية عن التعدين الخفيّ

 

منفذو هجمات التعدين الخفيّ أذكياء جداً، وقد ابتكروا طرقاً عديدة لتعدين العملات المشفرة على حواسيب الآخرين. معظمها ليست جديدة، فطرق حقن التعدين الخفيّ مستمدة في الغالب من الطرق المستخدمة في أنواع البرمجيات الخبيثة الأخرى مثل برمجيات الفدية أو برمجيات الإعلانات (Adware). يقول ترافيس فارال، مدير استراتيجية الأمن في شركة أنومالي Anomali: “بدأنا نرى كثيراً من الأشياء التقليدية التي استخدمها مبرمجو البرمجيات الخبيثة في الماضي. فبدلاً من إرسال برمجية فدية أو تروجان، يعيدون استغلال الأدوات القديمة في إرسال اكواد برمجية لتعدين العملات المشفرة”.

 

هذه بعض الأمثلة الواقعية:


موظف محتال يستولي على أنظمة الشركة


في مؤتمر إم تِك ديجيتال EmTech Digital مطلع هذا العام، ذكرت شركة دارك تريس Darktrace قصة مصرف أوروبي عميل لديها، كان يواجه أنماط مرور غير معتادة على خوادمه. كانت المعالجات الليلية تعمل ببطء، ولم تكتشف أدوات المصرف التشخيصية أي شيء. اكتشفت الشركة أن خوادم جديدة كانت تتصل بالشبكة خلال تلك الفترة، خوادم يقول البنك إنها لا وجود لها. اتضح من فحص مركز البيانات أن أحد الموظفين نصَّب نظام تعدين عملات مشفرة تحت ألواح الأرضية.

 

دس معدّنات العملات المشفرة عبر GitHub

 

في مارس/أذار، ذكرت شركة أفاست للبرمجيات Avast Software أن قراصنة التعدين الخفيّّ يستخدمون موقع جيت هاب GitHub في استضافة برمجيات التعدين الخبيثة. وجدوا مشاريع موثوقة نُسخَت منها مشاريع أخرى، ثم خبأ المهاجمون البرمجية الخبيثة في بنية المشروع المُنسوخ. وعبر استخدام أسلوب التصيد، يخدع قراصنة التعدين الناس ليحمِّلوا البرمجية عن طريق نشر تحذير بأهمية تحديث مشغل الفلاش أو على وعد بإتاحة محتوى موقع ألعاب جنسية مثلاً.

 

استغلال ثغرة أمنية بتطبيق rTorrent

 

اكتشف بعض قراصنة التعدين ثغرة خطأ في الاعداد misconfiguration بتطبيق rTorrent تترك بعض عملائه عرضة للخطر دون مصادقة على اتصال XML-RPC. يبحث المهاجمون على الإنترنت عن برامج تحميل التورنت المكشوفة، ويدسون فيها معدّنات لعملة المونيرو. كشفت شركة F5 Networks عن تلك الثغرة في فبراير/شباط الماضي، وتنصح مستخدمي rTorrent  بالتأكد من أن برامج التحميل الخاصة بهم لا تقبل اتصالات خارجية.

 

فيس إكس وورم Facexworm: إضافة متصفح كروم الخبيثة

 

تلك البرمجية التي اكتشفتها أولاً مختبرات شركة Kaspersky عام 2017، عبارة عن إضافة لمتصفح كروم تستخدم رسائل فيسبوك لتخترق أجهزة المستخدمين. بدأت فيس إكس وورم Facexworm أولاً بدس برمجيات الإعلانات الخبيثة. وفي مطلع هذا العام، وجدت شركة تريند مايكرو Trend Micro أحد تنويعات إضافة  فيس إكس وورم تستهدف تحويلات العملات المشفرة وتدس نصوصاً برمجية للتعدين الخفي. هذه الإضافة تستخدم حسابات الفيسبوك المصابة لتدس الروابط الخبيثة، ولكن بإمكانها أيضاً سرقة حسابات الويب والمعلومات الشخصية، ما يمكنها من دس كود التعدين الخفيّ في صفحات الويب تلك.

مُعدّن WinstarNssmMiner: سياسة الأرض المحروقة

 

في مايو/أيار الماضي، كشفت شركة 360 Total Security عن مُعدّن عملات مشفرة انتشر بسرعة وأثبت فعاليته في التعدين الخفيّّ. يمتلك المعدّن الذي يحمل اسم WinstarNssmMiner كذلك مفاجأة حقيرة لكل من حاول مسحه: يعطل حاسوب الضحية. يفعل WinstarNssmMiner ذلك عن طريق تشغيل عملية svchost.exe أولاً ودس الكود فيها، وضبط صفة العملية الناشئة على أنها عملية حرجة للحاسوب CriticalProcess. وبما أن الحاسوب يرى العملية على أنها حرجة، فإنه يتعطل بمجرد حذفها.


كيف تمنع التعدين الخفيّ

اتبع هذه الخطوات للحد من خطر وقوع مؤسستك فريسة للتعدين الخفيّ:

 

أضف تهديد التعدين الخفيّّ لتدريب التوعية الأمنية في مؤسستك، وركز على محاولات التصيد التي تهدف لتحميل الأكواد على حواسيب المستخدمين. يقول لاليبرتي: “سيساعد التدريب في حمايتك عند فشل الحلول الفنية”. ويرى أن التصيد سيظل الطريقة الرئيسية لإرسال البرمجيات الخبيثة بكل أنواعها.

 

لن يفيد تدريب الموظفين مع التعدين الخفيّ التلقائي على المواقع الموثوقة. يقول فايستيك: “سيكون التدريب أقل فاعلية مع التعدين الخفيّ لأنك ليس بإمكانك أن تخبر المستخدمين بالمواقع التي لا ينبغي عليهم زيارتها”.

 

ثبت إضافة حجب الإعلانات أو مضاد التعدين الخفيّ على متصفحات الإنترنت. بما أن أكواد التعدين الخفيّّ تصل الأجهزة عادةً عبر الإعلانات، سيكون تثبيت إضافة حجب الإعلانات وسيلةً فعالة لإيقافها. بعض إضافات حجب الإعلانات مثل Ad Blocker Plus تملك القدرة على كشف سكريبتات التعدين الخفيّ. ينصح لاليبرتي بتثبيت إضافات مثل No Coin وMinerBlock، وهي مصممةٌ لكشف سكريبتات التعدين الخفيّ وإيقافها.

 

استخدم برامج حماية لأجهزتك قادرة على كشف مُعدّنات العملات المشفرة. أضافت كثير من شركات برامج الحماية ومضادات الفيروسات خاصية كشف مُعدّنات العملات المشفرة لمنتجاتها. يقول فارال: “مضادات الفيروسات هي إحدى الأشياء الجيدة التي يمكن تثبيتها على الأجهزة للحماية من تعدين العملات المشفرة. إذا كانت البرمجية الخبيثة معروفة، فمن المحتمل أنها ستُكشف”. ويضيف أن علينا أن نكون حذرين، لأن مبرمجي المعدّنات يغيرون أساليبهم باستمرار لتجنب كشف برامج الحماية لأكوادهم.

 

حدّث أدوات تصفية الويب باستمرار. إذا كشفت صفحة ويب بها أكواد تعدين خفيّ، تأكد من حظر مستخدميك من الوصول إليها مرة أخرى.

 

تأكد من سلامة إضافات متصفح الويب. بعض القراصنة يستخدمون إضافات متصفح خبيثة أو يسمِّمون إضافات موثوقة ليشغِّلوا سكريبتات التعدين.

 

استخدم نظاماً لإدارة الأجهزة المحمولة لتتحكم في ما يحدث على أجهزة المستخدمين تحكماً أفضل. سياسة “أحضر جهازك إلى العمل” تشكل تحدياً أمام منع تعدين العملات المشفرة غير القانوني. يقول لاليبرتي: “يمكن لنظام إدارة الأجهزة المحمولة أن يحافظ على أمن الأجهزة الخاصة بالموظفين”. فذلك النظام يمكن أن يساعد في إدارة التطبيقات والإضافات على أجهزة الأفراد. صحيح أن تلك الأنظمة عادة ما تُوجه إلى الشركات الكبيرة، وتعجز الشركات الأصغر عن تحمل تكلفتها. لكن لاليبرتي يوضح أن الأجهزة المحمولة ليست عرضة لنفس مخاطر الحواسيب المكتبية والخوادم، لأنها عادة ما تملك قدرات معالجة أضعف، لذلك لا تغري المخترقين كثيراً.

 

كيف تكشف التعدين الخفيّّ

 

يمكن للتعدين الخفيّّ كبرمجيات الفدية أن يؤثر سلباً على مؤسستك رغم المجهودات التي تبذلها لإيقافه. قد يكون كشفه صعباً، خاصةً إذا كان عدد الأنظمة المتضررة قليل. لا تعتمد على برامج الحماية على أجهزتك لتوقف التعدين الخفيّّ. يقول لاليبرتي: “يمكن أن يختبئ كود التعدين من أدوات كشف التدخل القائمة على التوقيع. لذلك لن تراها برامج الحماية من الفيروسات على الحواسيب المكتبية”. هذا ما سيأتي بنتيجة:

 

درب فريق الدعم الفني في مؤسستك على البحث عن علامات تعدين العملات المشفرة.  يقول فايستيك إن أول إشارة تكون أحياناً هي ازدياد الشكاوى من بطء أداء الحواسيب. ينبغي أن يمثل ذلك جرس إنذار يتوجب فحصه بعناية.

 

ويضيف لاليبرتي أن من الإشارات الأخرى التي ينبغي على فريق الدعم الفني البحث عنها هي زيادة حرارة الأنظمة، التي قد تسبب فشل في مروحة التبريد أو وحدة المعالجة المركزية. ويقول: “تسبب السخونة الناتجة عن استخدام وحدة المعالجة المركزية ضرراً ويمكن أن تقلل من العمر الافتراضي للأجهزة”. وهذا ينطبق بخاصة على الأجهزة المحمولة الصغيرة كالهواتف الذكية والأجهزة اللوحية.

 

استخدم نظام مراقبة للشبكات. إذ يرى فايتسيك أن التعدين الخفيّّ أسهل في الاكتشاف في شبكات الشركات من الشبكات المنزلية، لأن معظم البرامج الموجهة للمستهلكين الأفراد لا تكشفه. لكن يسهل اكتشافه عبر حلول مراقبة الشبكات، ومعظم المؤسسات التجارية لديها أدوات لمراقبة الشبكات.

 

ومع ذلك، قليل من تلك المؤسسات لديه الأدوات والإمكانيات لتحليل تلك المعلومات من أجل كشف أدق. شركة سيك بي آي SecBI مثلاً، تطور حلول ذكاء اصطناعي لتحلل بيانات الشبكة وتكشف التعدين الخفيّّ وغيره من التهديدات.

 

يتفق لاليبرتي على أن مراقبة الشبكة هو أفضل حل لكشف أنشطة التعدين. ويضيف: “مراقبة محيط الشبكة التي تفحص حركة الاستخدام على الويب فرصتها أفضل في كشف معدّنات العملات المشفرة”. تضيق أكثر حلول المراقبة البحث عن تلك الأنشطة لنطاق الأفراد حتى تتمكن من معرفة الأجهزة المصابة على وجه التحديد.

 

يقول فارال: “إن كنت تملك نظام تصفية خارجية جيد على خادم تبحث فيه عن بدء عملية اتصال خارجي، قد يُسهم ذلك بصورة جيدة في كشف برمجية التعدين الخفيّّ الخبيثة”. ومع ذلك يحذر من قدرة مبرمجي مُعدّنات العملات المشفرة على كتابة برمجيات خبيثة تتجنب هذا الأسلوب في الفحص.

 

افحص مواقعك بحثاً عن كود تعدين عملات مشفرة. يحذر فارال من قدرة قراصنة التعدين الخفيّ على إيجاد أساليب لدس أكواد الجافا على خوادم الويب. ويضيف: “الخادم نفسه ليس هو الهدف، بل زوار الموقع”. وينصح بالفحص المنتظم بحثاً عن تغيرات في الملفات على خادم الويب أو تغييرات في الصفحات نفسها.

 

ابق على اطّلاع على مستجدات التعدين الخفيّ. يقول فارال إن أساليب دس أكواد التعدين والأكواد نفسها تتطور باستمرار، لذلك سيساعدك فهم البرنامج والسلوكيات على كشف التعدين الخفيّّ. ويضيف: “المؤسسات الواعية ستكون مطّلعةً على المستجدات. إذا فهمت أساليب دس تلك الأشياء، ستعرف أن تلك الحزمة من برامج الاختراق تدس أكواد تعدين. والوقاية من تلك الحزمة ستكون وقاية من الإصابة ببرمجيات التعدين الخبيثة”.

 

كيف تتعامل مع هجمات التعدين الخفيّّ

 

تخلص من الأكواد المحملة على المواقع الإلكترونية واحظرها. بالنسبة لهجمات جافا عبر المتصفح، الحل بسيط بمجرد كشف تعدين العملات المشفرة: اغلق الصفحة التي تشغل الكود. على قسم الدعم الفنيّ أن يسجل عنوان الموقع مصدر السكريبتات ويحدث مرشحات الشركة لتحظره. وفكر في استخدام أدوات مضادة للتعدين الخفيّ تجنباً لأي هجمة مستقبلية.

 

طهر إضافات المتصفح وحدثها. يقول لاليبرتي: “إذا أصابت إضافة ما المتصفح، فلن يفيد إغلاق الصفحة في شيء. حدّث كل الإضافات وامسح تلك التي لا تحتاجها أو المصابة منها”.

 

تعلم وتكيف. استفد من تجربتك لتفهم بشكل أفضل كيف يمكن للمخترقين استغلال أنظمتك. حدِّث تدريبات المستخدمين والدعم الفني حتى يتمكنوا من التعرف على محاولات التعدين الخفيّ والتعامل معها كما ينبغي.

 

إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.