Um grupo de hackers sul-africanos conhecido como “Automated Libra” têm aprimorado suas técnicas de ação usando contas e recursos de plataformas em nuvem gratuitas para programação, como GitHub, Heroku, Buddy.works e Togglebox, para minerar criptomoedas às custas dos provedores.
De acordo com a Unit 42 da Palo Alto Networks, os invasores usam um novo sistema de resolução CAPTCHA, se utilizam de forma mais agressiva dos recursos da CPU para mineração e misturam “freejacking” automatizado com a técnica “Play and Run” para explorar os recursos gratuitos da nuvem.
O Automated Libra foi exposto pela primeira vez por analistas da Sysdig em outubro de 2022, que nomearam o cluster malicioso de “PurpleUrchin” e acreditavam que o grupo era dedicado a operações de freejacking. A Unit 42 mergulhou mais fundo nessa investigação, analisando mais de 250 GB de dados coletados e descobriu muito mais sobre a infraestrutura, o histórico e as técnicas do grupo. Enquanto a Sysdig identificou 3.200 contas maliciosas pertencentes ao PurpleUrchin, a Unit 42 agora relata que o grupo criou e usou mais de 130 mil contas nas plataformas desde agosto de 2019, quando os primeiros sinais de suas atividades foram rastreados.
Os analistas da Palo Alto verificaram que o Automated Libra executa campanhas de freejacking automatizadas para explorar provedores de serviços de integração e implantação contínuas (CI/CD), como GitHub, Heroku, Buddy.works e Togglebox, para configurar novas contas nas plataformas e executar mineradores de criptomoedas em contêineres. Eles descobriram ainda que o grupo não usava componentes em contêiner apenas para mineração, mas também para negociar a criptomoeda extraída em várias plataformas de negociação, incluindo ExchangeMarket, crex24, Luno e CRATEX.
A Unit 42 ressalta que o freejacking é um aspecto importante das operações do PurpleUrchin, mas observa que que a técnica Play and Run também está fortemente implicada. Play and Run é um termo para operadores de ameaças que usam recursos pagos para obter lucro, neste caso, criptomineração, e se recusam a pagar as contas até que sejam congeladas. Nesse ponto, eles os abandonam e seguem em frente.
Veja isso
GitHub exigirá autenticação de dois fatores a partir de março
Invasões em série com tokens OAuth emitidos pelo GitHub
Normalmente, o PurpleUrchin usa informações que permitem a identificação pessoal (PII) roubadas e dados de cartão de crédito para criar contas premium em várias plataformas VPS (Virtual Private Server) e CSP (Cloud Solution Provider), para que ninguém possa rastreá-los quando deixarem dívidas não pagas. “O operador de ameaças também parecia reservar um servidor completo ou instâncias em nuvem e às vezes usa serviços CSP, como AHPs”, explica o relatório da Unit 42. “Eles fizem isso para facilitar a hospedagem de servidores da web necessários para monitorar e rastrear suas operações de mineração em grande escala”, disseram os analistas.
Uma técnica notável empregada pelo Automated Libra é um sistema de resolução CAPTCHA que os ajuda a criar muitas contas no GitHub sem exigir intervenção manual. Os hackers usam a ferramenta “converter” do ImageMagic para converter imagens CAPTCHA em seus equivalentes RGB e, em seguida, usam a ferramenta “identificar” para extrair a distorção do canal vermelho para cada imagem. O valor gerado pela ferramenta “identificar” é usado para classificar as imagens em ordem crescente.
Finalmente, a ferramenta automatizada usa a tabela para selecionar a imagem que está no topo da lista, que geralmente é a certa.Esse sistema destaca a determinação da Automated Libra em alcançar maior eficiência operacional, aumentando o número de contas por minuto que podem ser criadas no GitHub.
