Peretas Gunakan Bypass CAPTCHA Untuk Buat 20 Ribu Akun GitHub

Cyberthreat.id – Peneliti keamanan dari Palo Alto Networks Unit 42, mengungkapkan bahwa pelaku ancaman asal Afrika Selatan yang dikenal sebagai Automated Libra menggunakan sistem bypass CAPTCHA untuk untuk menyalahgunakan sumber daya cloud gratis.

Automated Libra merupakan salah satu kelompok anacaman yang mencari keuntungan dengan menggunakan sumber daya platform cloud untuk penambangan cryptocurrency. Mereka, pertama kali diekspos oleh analis di Sysdig pada Oktober 2022, yang dikhususkan untuk operasi pembajakan.

Dikutip dari Bleeping Computer, Unit 42 telah mendalami operasi ini dengan menganalisis lebih dari 250 GB data yang terkumpul dan mengungkap lebih banyak tentang infrastruktur, riwayat, dan teknik pelaku ancaman.

Menurut Unit 42, pelaku ancaman menjalankan kampanye otomatis yang menyalahgunakan penyedia layanan continuous integration and deployment (CI/CD), seperti GitHub, Heroku, Buddy.works, dan Togglebox, untuk menyiapkan akun baru di platform dan menjalankan penambang cryptocurrency.

Sementara peneliti Sysdig mengidentifikasi 3.200 akun berbahaya milik 'PurpleUrchin,' Unit 42 sekarang melaporkan bahwa pelaku ancaman telah membuat dan menggunakan lebih dari 130.000 akun di platform sejak Agustus 2019, saat tanda pertama aktivitasnya dapat dilacak.

Selain itu, Unit 42 menemukan bahwa pelaku ancaman tidak hanya menggunakan komponen dalam peti kemas untuk menambang, tetapi juga untuk memperdagangkan mata uang kripto yang ditambang di berbagai platform perdagangan, termasuk ExchangeMarket, crex24, Luno, dan CRATEX.

Sysdig memperhatikan bahwa pelaku ancaman terlibat dalam 'freejacking', mencoba mengeksploitasi sumber daya apa pun yang tersedia yang dialokasikan ke akun gratis, mencoba menghasilkan keuntungan yang signifikan dengan meningkatkan operasinya.

Unit 42 mengonfirmasi bahwa freejacking adalah aspek penting dari operasi PurpleUrchin tetapi melaporkan bahwa strategi “Play and Run” juga sangat terlibat. Play and Run adalah istilah untuk pelaku ancaman yang menggunakan sumber daya berbayar untuk mendapatkan keuntungan, dalam hal ini, cryptomining, dan menolak membayar tagihan sampai akun mereka dibekukan. Pada saat itu, mereka meninggalkan mereka dan melanjutkan.

Biasanya, PurpleUrchin menggunakan PII curian dan data kartu kredit untuk membuat akun premium di berbagai platform VPS dan CSP, sehingga tidak ada yang dapat melacaknya saat mereka meninggalkan hutang yang belum dibayar.

“Aktor tersebut juga tampaknya memesan server penuh atau instans cloud dan terkadang mereka menggunakan layanan CSP seperti AHP, Mereka melakukannya untuk memfasilitasi hosting server web yang diperlukan untuk memantau dan melacak operasi penambangan skala besar mereka,” kata Unit 42.

Dalam kasus ini, pelaku ancaman menggunakan sumber daya CPU sebanyak mungkin sebelum mereka kehilangan akses ke sana. Ini kontras dengan taktik yang diikuti dalam kampanye freejacking, di mana penambang hanya menggunakan sebagian kecil dari daya CPU server. Salah satu teknik penting yang digunakan oleh Libra Otomatis adalah sistem penyelesaian CAPTCHA yang membantu mereka membuat banyak akun di GitHub tanpa memerlukan intervensi manual.

Pelaku ancaman menggunakan alat "konversi" ImageMagic untuk mengonversi gambar CAPTCHA menjadi setara RGB mereka dan kemudian menggunakan alat "identifikasi" untuk mengekstrak kemiringan saluran Merah untuk setiap gambar.

Nilai yang dikeluarkan oleh alat "identifikasi" digunakan untuk memeringkat gambar dalam urutan menaik. Terakhir, alat otomatis menggunakan tabel untuk memilih gambar yang berada di puncak daftar, yang biasanya merupakan gambar yang tepat. Sistem ini menyoroti tekad Libra Otomatis untuk mencapai efisiensi operasional yang lebih tinggi dengan meningkatkan jumlah akun per menit yang dapat mereka buat di GitHub.