Automated Libra ist eine Hackergruppe, die hinter der Kryptominer Freejacking-Kampagne PurpleUrchin steckt.
Automated Libra ist eine in Südafrika ansässige Freejacking-Gruppe, die mit Purple Urchin auf Cloud-Plattformen abzielt, die zeitlich begrenzte Testversionen von Cloud-Ressourcen anbieten. So werden Kryptomining-Operationen möglich.
Palo Alto Networks/Unit 42 sammelte mehr als 250 Gigabyte an Container-Daten, die für die PurpleUrchin-Operation erstellt wurden, und entdeckte dabei, dass die Hintermänner dieser Kampagne auf dem Höhepunkt ihrer Operationen jede Minute drei bis fünf GitHub-Konten erstellten – und das allein im November 2022.
Die Kriminellen waren in der Lage, Cryptomining-Handlungen mittels einer „Freejacking“ genannten Taktik durchzuführen, bei der sie Cloud-Plattformen benutzen, die zeitlich begrenzte Testversionen von Cloud-Ressourcen anbieten. Sie erstellten wahrscheinlich gefälschte Zugangskonten mit gestohlenen oder gefälschten Kreditkarten. Die Gruppe stahl auch Cloud-Ressourcen von mehreren Cloud-Service-Plattformen durch eine Taktik, die die Forscher von Unit 42 „Play and Run“ nennen. Diese Taktik besteht im Kern darin, dass diese Leute Cloud-Ressourcen verwenden und sich dann weigern, dafür zu bezahlen, sobald die Rechnung eintrifft.
Die Cyberkriminellen waren in der Lage, ihre kostenlosen Testversionen optimal auszuschöpfen, indem sie Automatisierungstechniken von DevOps wie zum Beispiel Continuous Integration and Continuous Development (CI/CD) einsetzten. Sie erreichten dies, indem sie die Erstellung von Benutzerkonten auf Cloud-Plattformen in Form von Containern und durch Automatisierung von Cryptomining-Prozessen durchführten. Sie automatisierten auch die Erstellung von Containern, um sicherzustellen, dass die neu erstellten Konten für die Mining-Prozesse verwendet werden.
CI/CD-Architekturen bieten hochgradig modulare Betriebsumgebungen, die es ermöglichen, dass einige Komponenten eines Vorgangs ausfallen, aktualisiert oder sogar beendet und ersetzt werden können, ohne dass die größere Umgebung beeinträchtigt wird.
Die Analysten von Palo Alto Networks/Unit 42 fanden auch heraus, dass die Protagonisten eine Vorliebe für die Nutzung von Cloud-Diensten mittels traditioneller Virtual Service Providers (VSPs) besitzen. Viele traditionelle VSPs erweitern ihr Service-Portfolio um cloud-bezogene Dienste wie zum Beispiel Cloud Application Platform (CAP) und Application Hosting Platform (AHP). Zu den Cloud-Service-Providern, die CAP- und AHP-Dienste anbieten und ins Visier der PurpleUrchin-Akteure geraten sind, gehören unter anderem Heroku und Togglebox.
Die Forscher von Unit 42 identifizierten mehr als 40 individuelle Krypto-Börsen und sieben verschiedene Krypto-Währungen oder Token, die bei der PurpleUrchin-Operation verwendet wurden. Wir haben außerdem festgestellt, dass bestimmte in Container verpackte Komponenten der von den Tätern geschaffenen Infrastruktur nicht nur für das Mining ausgelegt waren, sondern auch den Handel mit den gesammelten Kryptowährungen über verschiedene Krypto-Handelsplattformen wie CRATEX ExchangeMarket, crex24 und Luno automatisiert hatten.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de