Cryptojacking คืออะไร ? รู้จักการแอบขุดเหรียญคริปโต ด้วยคอมฯ คนอื่น

Cryptojacking คืออะไร ?

ในช่วงที่ราคา เงินสกุลคริปโต (Cryptocurrency) อยู่ในช่วงเฟื่องฟู มันเป็นยุคที่ทุกคนให้ความสนใจกับการขุดเหรียญเป็นอย่างมาก หากยังจำกันได้ มันจะมีช่วงที่การ์ดจอขาดตลาดเพราะโดนนักขุดเหมาซื้อไปทำเหมืองกันหมด ถึงขั้นผู้ผลิตการ์ดจอต้องออกไดร์เวอร์ปรับให้การ์ดไม่สามารถนำไปขุดเหมืองได้ง่าย ๆ เพื่อให้นักเล่นเกมสามารถหาซื้อการ์ดจอได้ง่ายขึ้น

แต่สำหรับแฮกเกอร์สมองเพชรที่อยากจะขุดเหรียญคริปโตบ้าง การลงทุนซื้อการ์ดจอมาทำเหมืองเองมันก็เสียเชิงความเป็นแฮกเกอร์ เราต้องแฮกระบบคอมพิวเตอร์ชาวบ้านเพื่อฝัง มัลแวร์ (Malware) ที่มีหน้าที่ขุดเหมืองเอาไว้ในนั้นนะสิ ซึ่งนั่นก็คือ "คริปโตแจ็คกิ้ง (Cryptojacking)" นั่นเอง เรามาทำความรู้จักกันในบทความนี้กันต่อได้เลย ....

Cryptojacking คืออะไร ? (What is Cryptojacking ?)

Cryptojacking คือการใช้อุปกรณ์ของผู้อื่นโดยที่เจ้าตัวไม่ยินยอม หรือรับรู้ ไม่ว่าจะเป็น คอมพิวเตอร์ PC, สมาร์ทโฟน (Smartphone), แท็บเล็ต (Tablet) หรือแม้กระทั่งเครื่องเซิร์ฟเวอร์ (Server) ก็ตาม เพื่อที่จะใช้อุปกรณ์ดังกล่าวในการแอบทำเหมืองดิจิทัลขุดเหรียญคริปโต

ด้วยการใช้ทรัพยากรจากเครื่องของเหยื่อในการทำเหมือง นั่นทำให้เหล่าบรรดานักเจาะระบบ หรือ แฮกเกอร์ (Hacker) ทั้งหลาย ไม่ต้องลงทุนทำระบบขุด, ไม่ต้องเสียค่าไฟ ไม่ต้องจ่ายค่าบำรุงรักษา แม้ประสิทธิภาพของการใช้คอมพิวเตอร์ธรรมดาขุดเหมืองจะได้ผลตอบแทนต่ำ แต่แฮกเกอร์ก็อาศัยจำนวนเครื่องที่เยอะกว่ามารวมพลังเก็บเล็กผสมน้อย บวกกับการที่ไม่ต้องลงทุนเอง มันจึงเป็นหนึ่งในทางเลือกยอดนิยมที่แฮกเกอร์นิยมใช้ในการหารายได้

คุณอาจตกเป็นเหยื่อของการถูก Cryptojacking ได้โดยไม่รู้ตัว เพราะการทำงานของซอฟต์แวร์ Cryptojacking จะถูกออกแบบมาให้ซ่อนตัวจากเหยื่อ อย่างไรก็ตาม มันก็ไม่ใช่เรื่องยากที่จะสังเกต เพราะการถอดสมการคริปโตนั้นต้องใช้ทรัพยากรในการทำงานสูงมาก จึงมีจุดสังเกตได้หลายอย่าง เช่น การทำงานของระบบช้าลงอย่างชัดเจน, ระบบระบายความร้อน ภายในคอมพิวเตอร์ (Computer Cooling System) ทำงานหนักขึ้นจนบ้างก็ได้ยินเสียง ของการทำงานที่สูงกว่าปกติ, หากเป็นโน้ตบุ๊กแบตเตอรี่จะลดลงอย่างรวดเร็ว และค่าไฟฟ้าที่เพิ่งสูงขึ้นกว่าปกติ

เว็บไซต์ผิดกฏหมายหลายแห่งมักฝังสคริปต์ Cryptojacking เอาไว้ เช่น เว็บไซต์รับชมภาพยนตร์ละเมิดลิขสิทธิ์จะนิยมฝังสคริปต์ขุดเหมืองเอาไว้ด้วย ในระหว่างที่เหยื่อกำลังรับชมภาพยนตร์ (ละเมิดลิขสิทธิ์) ซึ่งต้องใช้เวลาอย่างน้อยก็ชั่วโมงครึ่ง ระหว่างนั้นก็ใช้ทรัพยากรคอมพิวเตอร์ของเหยื่อขุดเหรียญไปด้วยเสียเลย

จุดเริ่มต้นของ Cryptojacking (The History of Cryptojacking)

Cryptojacking ปรากฏขึ้นเป็นครั้งแรกในเดือนกันยายนของปี ค.ศ. 2017 (พ.ศ. 2560) โดยเว็บไซต์ Coinhive ได้เผยแพร่สคริปต์สำหรับให้เจ้าของเว็บไซต์นำไปฝังบนเว็บไซต์ของตนเอง เมื่อมีผู้เข้าชมเว็บไซต์ ในระหว่างนั้นจะมีการใช้ทรัพยากรอุปกรณ์ของผู้เข้าชมในการขุดเหรียญ Monero ซึ่งจะนำเหรียญที่ได้มาแบ่งให้กับเจ้าของเว็บไซต์เพื่อเพิ่มรายได้ในอีกทางหนึ่ง

เว็บไซต์แบ่งปันไฟล์ชื่อดังอย่าง Pirate Bay เองก็ใช้สคริปต์ตัวนี้เช่นกัน โดยมีการแจ้งผู้ใช้โดยตรงว่าเพื่อสร้างรายได้มาสนับสนุนให้เว็บไซต์ดำเนินงานต่อไปได้

อันที่จริง การกระทำดังกล่าวไม่ใช่เรื่องผิด หรือแย่ หากว่ามีการเปิดเผยให้ผู้ใช้รับทราบ และยินยอม แต่ในความเป็นจริงคือมีแฮกเกอร์ทำสคริปต์เลียนแบบออกมามากมาย แล้วแอบนำไปฝังไว้ในเว็บไซต์ต่าง ๆ ที่เตรียมเอาไว้ โดยพยายามสร้างเว็บไซต์ที่หลอกล่อให้ผู้ใช้เปิดหน้าเว็บไซต์ทิ้งไว้นาน ๆ เช่น เว็บรับชมภาพยนตร์เถื่อน, เว็บที่มีเกมให้เล่น, เว็บอ่านนิยายละเมิดลิขสิทธิ์ เป็นต้น

ประเภทของ Cryptojacking (Types of Cryptojacking)

Cryptojacking ถูกแบ่งออกเป็น 2 ประเภท ตามรูปแบบการโจมตี ดังต่อไปนี้

Web Browser-Based Attack

จะอาศัยเว็บไซต์ หรือโฆษณาออนไลน์ในการนำส่งมัลแวร์ Cryptojacking เมื่อเหยื่อเข้าชมเว็บไซต์ หรือคลิกแบนเนอร์โฆษณาที่เตรียมไว้ ผ่าน เว็บเบราว์เซอร์ (Web Browser) มันจะเริ่มดาวน์โหลด และติดตั้งมัลแวร์ลงในเครื่องของเหยื่อทันที บ้างก็ทำงานด้วย JavaScript โดยตรงบนเว็บไซต์เลย

Host-Based Attack

สำหรับเทคนิคนี้ แฮกเกอร์จะพยายามติดตั้งมัลแวร์ลงในเครื่องของเหยื่อโดยตรงด้วยการอาศัยเทคนิคต่าง ๆ ไม่ว่าจะเป็นแนบไฟล์ไปกับอีเมล, แก้ไขตัวติดตั้งซอฟต์แวร์ หรือเกมเถื่อน หรือสร้างแอปพลิเคชันปลอมขึ้นมาใหม่เลย หากเหยื่อหลงเชื่อดาวน์โหลดไปใช้งานก็เป็นอันเรียบร้อย

ตัวอย่างของ Cryptojacking ที่น่าจดจำในประวัติศาสตร์ (Examples of Memorable Cryptojacking)

Coinhive

ในช่วงปลายปี ค.ศ. 2017 (พ.ศ. 2560) ที่ตลาด Cryptocurrency กำลังอยู่ในช่วงพีค ได้มีบริการใหม่เปิดตัวออกมา นั่นก็คือ Coinhive มีคุณสมบัติที่ช่วยให้การทำเหมืองคริปโตบนหน้าเว็บไซต์เป็นเรื่องง่าย โดยมันจะรองรับการขุดเหรียญ Monero ที่ถูกสร้างขึ้นมาเพื่อการนี้โดยเฉพาะ

ภาพจาก https://www.malcare.com/blog/coinhive-malware-wordpress/

ทางบริษัท Coinhive ได้พยายามแนะนำแก่เว็บไซต์ที่ต้องการนำสคริปต์ไปใช้ว่า ควรแจ้งเตือนให้ผู้เข้าชมเว็บไซต์รับรู้ และยินยอมก่อนเข้าใช้บริการด้วย แต่ในความเป็นจริงคือ มันเป็น "คำแนะนำ" ไม่ใช่ "กฏข้อบังคับ" จึงมีเว็บไซต์จำนวนมากที่ฝังสคริปต์ของ Coinhive บนเว็บไซต์ของตนเอง โดยที่ไม่มีการแจ้งผู้เข้าชมแม้แต่นิดเดียว

ซึ่งทาง Coinhive ก็ไม่ได้สนใจอะไรในปัญหานี้ ทำให้มีจำนวนเว็บไซต์ที่แอบฝังสคริปต์จำนวนเพิ่มสูงขึ้นเรื่อย ๆ รวมไปถึงทางแฮกเกอร์เองด้วย ที่นำ Coinhive มาใช้ร่วมกับการโจมตีด้วยการแอบเจาะหลังบ้านเข้าไปแอบฝังสคริปต์ Coinhive ตามเว็บไซต์ต่าง ๆ เพื่อทำเงินเข้ากระเป๋าตัวเอง จากการตรวจสอบพบว่า สคริปต์ Coinhive นั้นมีซ่อนอยู่ในหลายส่วน ตัวอย่างเช่น

• ส่วนขยายของเว็บเบราว์เซอร์
• โฆษณาของ YouTube
• โฆษณาบนแพลตฟอร์มต่าง ๆ
• แอปพลิเคชัน และซอฟต์แวร์ต่าง ๆ
• หุ่นยนต์ตอบแชทอัตโนมัติ หรือ แชทบอท (Chatbot)
• หน้าเว็บไซต์ต่าง ๆ ทั้งของรับบาล และเอกชน

Kobe Bryant Wallpaper

โคบี ไบรอันต์ (Kobe Bryant) เป็นนักบาสระดับตำนานในวงการ NBA มีแฟนบาสเกตบอลมากมายที่หลงใหลในฝีมือของชายคนนี้ แต่น่าเศร้าที่เขาจากไปอย่างไม่มีวันหวนกลับจากอุบัติเหตุ

ตอนนั้นมีแฟนที่กำลังโศกเศร้าจำนวนมาก มองหาภาพของเขามาใช้ตั้งภาพหน้าจอเพื่อระลึกถึง แฮกเกอร์ก็เลยอาศัยโอกาสนี้ซ่อนสคริปต์ Cryptojacking เอาไว้ในภาพวอลเปเปอร์ของโคบี ไบรอันต์ และนำมาแจกจ่ายบนโลกอินเทอร์เน็ต หากเหยื่อหลงเชื่อคลิกไปที่ภาพดังกล่าว ก็จะถูกไปยังเว็บไซต์ที่มีการฝังสคริปต์ที่ดัดแปลงมาจาก Coinhive เพื่อทำการใช้เครื่องของเหยื่อในการขุดเหมืองทันที

MyKings Botnet

MyKings Botnet กับ Kobe Bryant Wallpaper มีความเหมือนกันตรงที่มีการนำรูปของผู้ที่มีชื่อเสียงมาใช้เป็นเหยื่อล่อฝังสคริปต์เอาไว้เพื่อให้เหยื่อมาคลิก มันถูกค้นพบเป็นครั้งแรกในปี ค.ศ. 2017 (พ.ศ. 2560) ตัวมันยังมีอีกหลายชื่อ คือ DarkCloud, Hexmen หรือ Smomninru แต่ทั้งหมดก็เป็น บอทเน็ต (Botnet) ที่เป็นชนิดเดียวกัน

หลังจากที่มันฝังตัวอุปกรณ์ของเหยื่อสำเร็จแล้ว มันจะสแกนหาอุปกรณ์อื่นที่มีอยู่ในเครือข่าย เพื่อแพร่กระจายตัวเองต่อไปทันที โดยอาศัยช่องโหว่หลายช่องทางไม่ว่าจะเป็นช่องโหว่ใน EternalBlue, MySQL, MS-SQL, Telnet, SSH, RDP ฯลฯ เจอรูไหนก็มุดรูนั้น

จากรายงานที่เผยแพร่ในเดือนกันยายน ค.ศ. 2019 (พ.ศ. 2562) มีคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ตกเป็นเหยื่อของ MyKings Botnet มากกว่า 500,000 เครื่อง และมียอดเพิ่มขึ้นประมาณ 5,000 เครื่องต่อวัน เลยทีเดียว

Vivin

Vivin เป็นมัลแวร์ที่ปลอมตัวเองเป็นซอฟต์แวร์เถื่อน มันถูกค้นพบในช่วงปลายปี ค.ศ. 2019 (พ.ศ. 2562) แต่จากการวิเคราะห์ประมาณการเอาไว้ว่ามันน่าจะมีมาอย่างน้อยก็ตั้งแต่ปี ค.ศ. 2017 (พ.ศ. 2560) 

มันแพร่กระจายผ่านเว็บบอร์ด และเว็บไซต์แจกซอฟต์แวร์ละเมิดลิขสิทธิ์ต่าง ๆ โดยมันพรางตัวเป็น ไฟล์ .RAR ที่เนียนเป็นตัวติดตั้งซอฟต์แวร์ หากเหยื่อหลงเชื่อกดติดตั้งมันจะแอบติดตั้ง Payload ของเครื่องมือขุดเหรียญ Monero ลงในระบบผ่าน PowerShell commands ลงไปด้วย จากนั้นมันจะใช้ทรัพยากร CPU ของคอมพิวเตอร์ถึง 80% เพื่อขุดเหรียญเข้ากระเป๋าเงินของแฮกเกอร์

Tesla Cryptojacking

แม้แต่บริษัท Tesla ผู้ผลิตรถยนต์ไฟฟ้ารายใหญ่ของโลกเองก็เคยถูกแฮกเกอร์โจมตี แอบแฮกเซิร์ฟเวอร์ไปใช้ทำเหมืองเหรียญดิจิทัล เรียกได้ว่างานนี้ถูกลูบคมกันแบบซึ่งหน้า

ปัญหาเกิดขึ้นกับระบบคลาวด์ของ Tesla ที่ตั้งอยู่บน Amazon Web Services (AWS) ซึ่งมีการใช้ Kubernetes console เป็นเครื่องมือสำหรับจัดการระบบหลังบ้าน แต่แฮกเกอร์ได้ค้นพบช่องโหว่ในระบบ Kubernetes console ที่อนุญาตให้คนนอกเข้าถึงได้ แน่นอนว่าแฮกเกอร์ก็เข้าได้เช่นกัน ก็เลยมีมือดีเข้าไปติดตั้ง Stratum Bitcoin mining protocol ลงบนเซิร์ฟเวอร์ของ Tesla เพื่อใช้ขุด Bitcoin ซะเลย

ไม่มีรายงานว่าแฮกเกอร์รายดังกล่าวทำเงินไปได้เท่าไหร่ แต่ดูจากประสิทธิภาพของเซิร์ฟเวอร์ที่ Tesla ใช้ ก็คาดว่าจะเป็นเงินจำนวนไม่น้อยอย่างแน่นอน

Outlaw Botnet

ในปี ค.ศ. 2018 (พ.ศ. 2561) Trend Micro บริษัทด้านความปลอดภัยบนโลกไซเบอร์ได้ค้นพบ Outlaw Botnet มันเป็นบอทที่จะพยายามค้นหาอุปกรณ์ที่มีช่องโหว่ให้โจมตีได้ แต่ความเกรียนของ Outlaw botnet คือมันจะเริ่มจากการตรวจสอบก่อนว่าในอุปกรณ์ดังกล่าวมี Cryptojacking ของแฮกเกอร์รายอื่นทำงานอยู่ก่อนแล้วหรือยัง ?

หากมีอยู่แล้ว มันจะทำการสั่งหยุดการทำงานของ Cryptojacking ตัวดังกล่าวไปก่อน จากนั้นก็แทนที่การตั้งค่าของตัวมันเองลงไปแทน พูดง่าย ๆ คือมันจะยึดเหมืองคนอื่นมาเป็นเหมืองของตนเอง แต่ถ้าไม่มีมันก็จะดาวน์โหลดการตั้งค่าเพื่อทำเหมือง Monero ลงไปอัตโนมัติ

จากรายงานของ Trend Micro ที่เผยแพร่ในปีเดียวกัน พบว่ามีทั้งคอมพิวเตอร์, เซิร์ฟเวอร์, เว็บไซต์ และอุปกรณ์ Internet of Things (IoT) มากกว่า 180,000 เครื่อง ที่ตกเป็นเหยื่อของ Botnet ตัวนี้