多くのクラウドコンピューティングサービスでは、月の使用時間や容量など、限定した利用枠の中であれば無料で使えるものが数多くある。それらは、ユーザーに自社サービスの使い勝手を試してもらい、その後の継続利用に繋げてもらうために用意された導線の役割を果たすものであるが、これを利用して暗号通貨マイニングを行う事例が観測されたようだ。
この自動化された大規模な暗号通貨マイニングキャンペーンは、無料のGitHub、Heroku、Buddyのサービスを悪用して、これらの業者にマイニング費用を肩代わりさせて暗号通貨を入手するようなものだ。
無料枠に属するアカウントに提供される限られたリソースを悪用して、それぞれの無料アカウントからはわずかな利益しか生み出せないが、塵も積もれば山となると言う事で、これを膨大な数で自動化して繰り返す事で、大きな利益を得ようとする作戦である。
このキャンペーンの背後には「Purpleurchin」と呼ばれる人物が存在する。彼(もしくは彼女)は、GitHub(300アカウント)、Heroku(2000アカウント)、Buddy.works(900アカウント)などのCI/CDサービスプロバイダーを使用して、毎日100万以上の関数コールを実行していることが確認されているそうだ。
これらのアカウントの使用は、マイニングコンテナを含む130のDocker Hubイメージを通じてローテーションされ、チャネル化されている。一方、すべての運用レベルで難読化されているため、Purpleurchinは今まで発見されていないとのことだ。
この手順の詳細は、Sysdigに詳しくまとめられているが、「作戦の中核は、コマンド&コントロールサーバ(C2)およびStratumサーバとして機能するlinuxappコンテナ(「linuxapp847444744474」)で、すべてのアクティブなマイニングエージェントを調整し、自身のマイニングプールに誘導する」ものとのことだ。
このマイナーは、サーバーのCPUパワーのごく一部を使って、Tidecoin、Onyx、Surgarchain、Sprint、Yenten、Arionum、MintMe、Bitwebなど、さまざまな暗号通貨をこっそりと採掘する。
そして、マイニングプロセスには、ネットワークスキャナがマイニングプールへのアウトバウンド接続を検出する能力を妨げる、カスタムStratumマイニングプロトコルリレーが採用されている。
更に、このリレーはまた、Purpleurchinの暗号ウォレットアドレスを不明瞭にするので、どの程度の利益が得られているのかも不明だ。
マイニングによって、Purpleurchinがどの程度の利益を得ているのかは不明だが、GitHubなどプロバイダにとっての被害は測定可能であり、それは無視できないほど大きいものだ。SysdigのアナリストはGitHub1アカウントあたり月額15ドルの維持費がかかると見ており、HerokuとBuddyについては、1アカウントあたり月額7ドルから10ドルと見ている。
これらの計算に基づけば、Purpleurchinがこのマイニングによって1Monero(XMR)を採掘するためには、サービスプロバイダーにとって10万ドル(1,500万円)以上のコストがかかることになるのだ。
これは、1Moneroあたりおよそ11,000ドルと推定される通常のクリプトジャッキング操作による被害の10倍程度に相当するという。非常に非効率的だが、自身では費用がかからないことを考えれば安い物だろう。
