Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Minage de cryptomonnaies : découverte d’une ferme de minage de cryptomonnaies au sein d’un entrepôt

Justin Fier, Director of Cyber Intelligence & Analytics | jeudi 8 avril 2021

Chaque semaine, les cryptomonnaies font les gros titres. Le grand public les considère de plus en plus facilement comme mode accepté d’investissement ou de paiement. Dans le monde entier, des cybercriminels exploitent des centres de données nommés « fermes » de minage de cryptomonnaies pour tirer profit de cette tendance, de la Chine à l’Islande, en passant par l’Iran, et même dans un simple carton abandonné dans un entrepôt désaffecté.

Comment le minage de cryptomonnaies fonctionne-t-il ?

Les cryptomonnaies sont des monnaies numériques décentralisées. À la différence des monnaies traditionnelles, qui peuvent être émises à tout moment par les banques centrales, une cryptomonnaie n’est contrôlée par aucune autorité centralisée. Au lieu de cela, elle s’appuie sur une blockchain, qui fonctionne comme un registre numérique de transactions, organisées et maintenues par un réseau peer-to-peer.

Les mineurs créent et acquièrent des cryptomonnaies en résolvant des algorithmes cryptographiques. Pas de pioche ni de casque ici : les mineurs utilisent pour tout outil des ordinateurs spécialisés dotés de cartes graphiques ou d’ASIC pour valider les transactions le plus rapidement possible, ce qui permet d’obtenir des cryptomonnaies.

Fermes de cryptomonnaies en 2021 : une récolte précoce

Le minage de cryptomonnaies consomme une quantité d’énergie gigantesque. Une analyse menée par l’Université de Cambridge estime que la production de Bitcoin consomme au moins autant d’énergie qu’un pays tout entier, si ce n’est plus. Par exemple, le Bitcoin consomme environ 137,9 térawatts-heures par an, alors que l’Ukraine consomme seulement 128,8 Twh sur la même période. Le Bitcoin n’est qu’une cryptomonnaie parmi tant d’autres, comme Monero ou Dogecoin ; l’énergie totale consommée par les cryptomonnaies est donc bien plus importante.

Comme les ordinateurs de minage requièrent une grande puissance de traitement et consomment beaucoup d’énergie, le minage de cryptomonnaies est particulièrement lucratif dans les pays où l’électricité est peu coûteuse. Toutefois, la consommation d’énergie liée à cette activité peut avoir des conséquences désastreuses, et même paralyser des villes entières. En Iran, le réseau électrique vétuste a du mal à répondre à la demande des fermes de minage, ce qui entraîne des pannes électriques à l’échelle de villes entières.

Même si certaines de ces fermes sont légales, les mineurs illégaux mettent à rude épreuve l’approvisionnement en électricité en Iran. Le minage illégal est populaire en Iran, d’abord parce que la devise iranienne est volatile et sujette à l’inflation, alors que les cryptomonnaies sont (pour l’instant) insensibles aux politiques monétaires inflationnistes et aux sanctions imposées par les États-Unis. Lorsqu’elles sont exploitées dans un cadre illégal, les fermes de cryptomonnaies peuvent entraîner des pannes de réseau et causer d’importants dégâts financiers.

Malware de minage de cryptomonnaies dans les réseaux d’entreprise

Les malwares de minage de cryptomonnaies non contrôlés sont en mesure de ralentir, voire de provoquer le plantage de l’environnement numérique d’une entreprise. La Cyber IA a découvert et repoussé des centaines d’attaques, dans lesquelles des machines étaient infectées par des malwares de minage de cryptomonnaies, notamment :

  • un serveur responsable de l’ouverture et de la fermeture d’une porte biométrique ;
  • un spectromètre, dispositif médical IoT qui utilise les longueurs d’onde du spectre lumineux pour analyser les matériaux ;
  • 12 serveurs dissimulés sous le plancher d’une banque italienne.

Dans un cas observé l’an dernier, Darktrace a détecté une activité anormale de minage de cryptomonnaies sur un système d’entreprise. Après analyse, l’entreprise a retracé l’activité jusqu’à un de ses entrepôts, où elle a découvert ce qui semblait n’être qu’une pile de cartons sur une étagère. Dans ces cartons, on a trouvé une véritable ferme de minage camouflée, raccordée au réseau électrique de l’entreprise.

Figure 1 : les cartons en question

Figure 2 : la ferme de minage de cryptomonnaies

Figure 3 : les pirates ont créé une structure discrète de minage de cryptomonnaies à base de cartes graphiques, raccordée au réseau électrique de l’entreprise

Si elle n’avait pas été découverte, cette ferme de minage aurait induit des pertes financières pour le client, et aurait perturbé ses opérations habituelles. En outre, les systèmes de minage génèrent beaucoup de chaleur et ceux-là auraient facilement pu provoquer un incendie dans l’entrepôt.

Ce scénario illustre bien les méthodes furtives auxquelles ont recours certains individus opportunistes pour infiltrer leurs logiciels de minage de cryptomonnaies dans les infrastructures d’entreprise. Il révèle aussi qu’il est nécessaire d’avoir recours à un outil de sécurité capable de couvrir l’ensemble du domaine numérique et de détecter les événements nouveaux ou inhabituels. Le machine learning de Darktrace a signalé que les connexions établies depuis les cartons de l’entrepôt étaient hautement anormales, pour mener à cette découverte inattendue.

Dans les entreprises où Antigena est actif, les machines anormales de minage de cryptomonnaies seraient empêchées de communiquer avec leurs endpoints externes, inhibant par là toute activité de minage. Antigena peut également réagir en appliquant le « modèle comportemental normal » de l’environnement tout entier, ce qui bloque les comportements malveillants tout en permettant de poursuivre les activités normales. À l’heure où les acteurs malveillants continuent de proliférer et où les pirates inventent de nouvelles façons de déployer leurs malwares de minage de cryptomonnaies, la visibilité complète et la Réponse Autonome offertes par Darktrace dans chaque partie de l’environnement numérique sont plus importantes que jamais.

Nous remercions Chloe Phillips, analyste Darktrace, pour ses informations.

Découvrez comment Darktrace stoppe les campagnes de minage de cryptomonnaies.

Détections de modèles Darktrace :

  • Compliance / Crypto Currency Mining Activity
  • Compromise / High Priority Crypto Currency Mining
  • Compromise / Monero Mining
  • Anomalous Connection / Rare External SSL Self-Signed
  • Compromise / HTTP Beaconing to Rare Destination
  • Compromise / POS and Beacon to Rare External
  • Compromise / Slow Beaconing Activity to External Rare
  • Compromise / SSL Beaconing to Rare Destination
  • Compromise / Sustained TCP Beaconing Activity to Rare Endpoint
  • Anomalous Connection / Multiple Failed Connections to Rare Destination
  • Compromise / Sustained SSL or HTTP Increase
  • Anomalous Connection / Connection to New TCP Port
  • Anomalous Connection / Connection to New UDP Port
  • Compromise / Multiple UDP Connections to Rare External Hosts
  • Compromise / SSL or HTTP Beacon
  • Compromise / Quick and Regular HTTP Beaconing
  • Device / Suspicious domains
  • Compromise / Suspicious Beacons to Rare PHP Endpoint
  • Anomalous File / Script from Rare
  • Anomalous Connection / New failed External Windows Connection
  • Device / New Failed External Connection
  • Anomalous Connection / POST to PHP on New External Host

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of Director for Cyber Intelligence & Analytics at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.