Ukraińskie władze dokonały aresztowania 29-letniego mężczyzny, który dokonywał wielokrotnych włamań na konta (obsługujące serwery) w chmurze, w celu nielegalnego wydobycia kryptowalut. Jak haker dokonywał tego procederu oraz w jaki sposób go schwytano?

Zacznijmy zatem od epilogu tej historii. Do aresztowania doszło 9 stycznia w Mikołajowie w wyniku współpracy Europolu ze niezidentyfikowanym dostawcą usług w chmurze. Według Europolu uważa się, że podejrzany wydobył kryptowaluty o wartości ponad 2 milionów dolarów (1,8 miliona euro) za pośrednictwem zaatakowanych kont.

W ramach tej operacji Europejskie Centrum ds. walki z Cyberprzestępczością (EC3) Europolu utworzyło w dniu aukcji wirtualne stanowisko dowodzenia. Komórka ta miała wspierać ukraińską policję, oferując analizę i wsparcie kryminalistyczne dotyczące danych zebranych podczas przeszukań.

Rzeczy, które znaleziono i zabezpieczono na miejscu zatrzymania

Dzięki temu służby ukraińskiej cyberpolicji ustaliły, iż schwytany haker wykorzystał zautomatyzowane narzędzia do siłowego wymuszania zmiany haseł do około 1500 kont należących do spółki zależnej nieujawnionego podmiotu handlu elektronicznego. W związku z tym podejrzany jest oskarżony o wykorzystywanie zhakowanych kont, w celu uzyskania uprawnień administracyjnych (a precyzyjniej - nieuprawnionej ingerencji w pracę informacji, komunikacji elektronicznej, sieci komunikacji elektronicznej). A do czego potrzebował tych kont?

Otóż ów mężczyzna za ich pomocą stworzył ponad milion wirtualnych serwerów, które miały za zadanie wyłącznie jedno – wykonywać operacje wydobycia kryptowalut na dużą skalę. Sprawca rzekomo wykorzystywał portfele kryptowalut TON, aby ułatwić przepływ nielegalnych dochodów. Cały incydent był realizowany od 2021 roku.

Warto przy tym wspomnieć o tym, że cryptojacking w środowisku chmury polega na uzyskiwaniu przez hakerów nieautoryzowanego dostępu do infrastruktury przetwarzania w chmurze i wykorzystywaniu jej mocy obliczeniowej do wydobywania kryptowalut. Dzięki temu procesowi cyberprzestępcy mogą uniknąć kosztów związanych z serwerami i zasilaniem, maksymalizując swoje zyski. Oczywiście oznacza to, że posiadacze zaatakowanych kont ponoszą wspominane przed chwilą wydatki.

Źródło: Finbold, Bleeping Computer