Taking advantage of free cloud-based botnet for harvesting crypto coins and beyond


Nhiều cloud hay online application-hosting service cung cấp các tài khoản dùng thử miễn phí, nhất là các start-up mới ra mắt dịch vụ thường chọn cách này để thu hút người dùng. Nhiều trong số đó có cơ chế đăng ký khá dễ dàng với các yêu cầu cơ bản như email, credit card, phone number, captcha nhưng không cần xác thực thông tin hoặc có thể qua mặt được bằng cách này hay cách khác.

Như vậy, thay vì phải tốn công tạo ra các loại malware tinh vi để có được mạng lưới botnet rộng lớn và hòng qua mặt được các cơ chế bảo vệ từ phía máy tính của người dùng thì có thể lợi dụng các dịch vụ cloud trên để tạo hàng loạt các tài khoản miễn phí. Sau đó triển khai mạng lưới botnet hình thành từ số lượng các máy tính được phép tạo ra trong giới hạn của các tài khoản miễn phí này.

Cách tiếp cận này sẽ được trình bày rõ hơn tại hội nghị Black Hat ở Las Vegas vào tháng tới bởi hai researcher đang làm cho Bishop Fox. Trong quá trình thử nghiệm thì họ nói rằng đã tạo được một cloud-based botnet từ 15 dịch vụ được chọn và dùng nó để tiến hành khai thác tiền ảo Litecoin (không thử với Bitcoin vì loại cryptocurrency này cần nhiều sức mạnh để khai thác hơn nhiều và trong thực tế thì yêu cầu tới cả GPU). Con số ước tính thu về trong một tuần khi quy đổi ra USD lên tới $1.750 nếu trong một ngày mỗi tài khoản miễn phí chỉ cần tạo ra được 25 cent từ việc đào Litecoin.

Ngoài ra, họ còn cho biết ban đầu việc thử nghiệm được tiến hành đồng loạt trên toàn mạng botnet trong vòng vài giờ và chỉ để một số ít các máy tự chạy trong suốt hai tuần sau đó. Nhưng điều này không hề được hay biết và bị ngăn chặn bởi các nhà cung cấp dịch vụ cloud.

Rõ ràng, các lợi ích không chính đáng thu về từ mạng lưới cloud-based botnet miễn phí này vượt ra khỏi mục đích đơn thuần là chỉ để đào tiền ảo khi chúng hoàn toàn có thể được sử dụng cho các mục tiêu khác như DDoS, password cracking, click fraud, v.v… Và sẽ ra sao nếu phải chặn nguyên dải IP đến từ các máy tính nằm trong dịch vụ cloud của Google hay Amazon? Cuối cùng, cái khó nằm ở chỗ làm sao tạo được hàng loạt các free cloud account như vậy mà không tốn nhiều thời gian hoặc bị phát hiện, thêm một chút thông tin liên quan có ở slide này.

-mt.