Майнинг не дремлет

Мир охватила эпидемия криптоджекинга? С подробностями — Кирилл Журенков и Светлана Сухова

Мир атаковала вредоносная программа WebCobra — она тайно добывает криптовалюту Monero, заражая чужие компьютеры. А специалисты предупреждают: скрытый майнинг опередил в 2018-м все другие киберпреступления!

Фото: Олег Харсеев, Коммерсантъ

Вот новый пугающий тренд: сегодня киберпреступники крадут не ваши деньги, а ваши… вычислительные мощности. Точнее, мощности ваших компьютеров. Это называется криптоджекинг (от англ. cryptojacking — «крипто» и «воровство»), или использование чужих устройств для добычи криптовалют. Согласно отчету разработчика программного обеспечения для кибербезопасности Trend Micro, количество случаев обнаружения криптоджекинга только за первую половину 2018-го выросло на… 141 процент и, похоже, потеснит с первого места вирусы-вымогатели. Думаете, речь про Запад? Не только: в компании Avast предупреждают об увеличении числа атак с целью криптоджекинга на компьютеры россиян в этом сентябре — всего за месяц было зафиксировано 5,1 млн таких нападений! Впрочем, до рекорда пока далеко: он был установлен в ноябре 2017-го, тогда было зафиксировано 40,4 млн атак!

Как это происходит? Разберемся. Представьте, что вы заходите на какой-нибудь сайт и пока читаете текст или смотрите видеоролик, ваш ПК или ноутбук добывает криптовалюту. Только не для вас, а для других. Год назад такая незаметная программка, установленная неизвестно кем, оказалась на сайте популярного платного телеканала Showtime: каждый, кто заходил на этот сайт, помогал добывать криптовалюту. А вот другой пример — нынешним летом стало известно об установке майнинговой программы на скандально известном торрент-трекере The Pirate Bay. Торрент, правда, решил майнить в открытую и сосредоточился на одной из криптовалют — Monero, что само по себе показательно. Говорят, сегодня наибольшей популярностью в «серой» зоне пользуются относительно новые альтернативы Bitcoin — та же Monero или zCash: якобы транзакции в таких криптовалютах труднее отследить. К тому же для майнинга Bitcoin требуются большие мощности…

— Что представляет собой криптоджекинг? Майнинг криптовалют при посещении сайта, где установлено соответствующее программное обеспечение,— объясняет «Огоньку» Денис Солдатов, член экспертного совета по развитию финансовых технологий при комитете Госдумы по финансовому рынку.— При этом хакеры могут скрыто перенаправлять пользователей на такие сайты, а владельцы сайтов не догадываться, что являются распространителями вредоносных программ. Есть доступное ПО для установки на сайт с целью майнинга криптовалют, например, CoinHive для добычи Monero. По задумке оно должно помочь владельцам сайтов монетизировать свой контент. Но тут, конечно, многое зависит от них самих: по-хорошему пользователей должны предупреждать об использовании этих ресурсов для майнинга. Все ли делают это на практике — вопрос открытый.

Как открыта и другая, не менее актуальная проблема: популярностью у преступников пользуется и взлом обыкновенных компьютеров — как раз с целью установки скрытого программного обеспечения для добычи криптовалют. Как отмечает Денис Солдатов, в этом случае уже не важно, с какой целью используются мощности зараженного ПК — можно заполучить целый комплект, от «троянов» до участия в «ботнетах» (компьютерных сетях, предназначенных, к примеру, для DDos-атак).

— Можно сказать, что у России есть своя специфика,— продолжает Солдатов.— Даже при правильно настроенном антивирусном ПО наши соотечественники умудряются сами установить себе подозрительные программы, порой в силу низкой компьютерной грамотности, порой из любви к халяве. Очень часто пользователи становятся и жертвами «социальной инженерии» (письма на электронную почту или смс-оповещения, которые заражают гаджет.— «О»), которую практикуют хакеры.

Вы замечали, что вычислительные мощности вашего ПК быстро «забиваются», а сам он сильно нагревается? Возможно, с вашей помощью кто-то уже намайнил себе состояние! Однако технологии не стоят на месте: недавно вредоносная программа ADB.Miner была обнаружена… в телефонах с системой Android в Китае и Южной Корее!

Страдают, впрочем, не только отдельные пользователи, но и целые организации. По словам главы киберразведки компании Darktrace Джастина Файера, популярность набирают незаконные майнинговые операции, производимые «инсайдерами».

— Их часто запускают сотрудники компаний, у которых есть высокий уровень сетевых привилегий и которые обладают соответствующими навыками,— цитирует эксперта MIT Technology Review. К примеру, в практике Джастина был случай, когда его команда разоблачила сотрудника крупной телекоммуникационной фирмы: тот намеревался использовать ее серверы для майнинга.

Дело, конечно, не только в том, что преступники «крадут» вычислительные мощности. Майнинг требует больших энергозатрат, а ведь не всякая сеть это выдержит. Например, несколько месяцев назад у одного незадачливого майнера из города Северска в Томской области на балконе сгорела майнинговая ферма!

А вот и новая страшилка — ее зовут WebCobra, это вредоносная программа для криптоджекинга и у нее русские корни. WebCobra уже ударила по Бразилии, США и даже ЮАР. Специалисты предупреждают: суперпрограмма выясняет всю подноготную системы, в которую проникает, и для каждого компьютера устанавливает своего майнера. Но самое страшное: заразившись, вы так и не узнаете об этом, не случайно программу уже прозвали «тихим убийцей». У новости есть и неожиданный поворот: как поясняют эксперты McAfee, всплеск криптоджекинга (и в частности, появление WebCobra) коррелирует с ростом курса криптовалют! Например, когда курс Monero скакнул в 2017–2018 годах до 350 долларов, число программ по криптоджекингу тоже резко выросло… с 500 тысяч до примерно 2 млн!

— В классических криптовалютах, основанных на решении сложных задач (proof of work), майнинг затратен с точки зрения закупки специализированных компонентов и с точки зрения ресурсов, в первую очередь электроэнергии,— поясняет председатель Ассоциации «Электронные деньги» Виктор Достов.— При резких падениях стоимости валют себестоимость остается примерно такой же, и майнеры начинают работать себе в убыток. Криптоджекинг экономически устроен не так (основные затраты идут на привлечение невольных майнеров, которые уже сами оплачивают электроэнергию), но общая логика та же: при резком падении стоимости валюты затраты на вовлечение майнера могут существенно превысить выгоду. Интуитивно кажется, что запас прибыльности для криптоджекинга выше, чем для честного майнинга и сезонные колебания должны быть меньше.

В свою очередь, Денис Солдатов на вопрос, как защититься от криптоджекинга и взлома, разводит руками: основные принципы известны.

— Пользоваться официальными лицензионными программами и постоянно их обновлять,— уточняет эксперт.— Конечно, растущая сложность майнинга некоторых криптовалют является сдерживающим фактором. Не исключено, что и число преступлений в этой сфере сократится. Но не надо забывать: добыча криптовалют в режиме PoW (bitcoin, litecoin и пр.) — это лотерея и каждый имеет шанс найти заветный блок. Так что вряд ли злоумышленники от этого шанса откажутся.

Кирилл Журенков, Светлана Сухова

Экспертиза

Темный и доходный

Арсений Реутов, руководитель отдела исследований по защите приложений Positive Technologies

О причинах популярности криптоджекинга. Майнеры — очень распространенное вредоносное программное обеспечение (ПО). Спрос на него можно объяснить тем, что криптоджекинг позволяет получать монеты сразу, без шантажа, хищения средств со счетов и т.д. Криптоджекинг не требует особых навыков от злоумышленника. Поэтому, безусловно, случаи нелегального майнинга учащаются. Наши исследования показывают, что ПО для скрытого майнинга получило более чем широкое распространение: среди выставленного на продажу в дарквебе (или темной сети.— «О») вредоносного программного обеспечения его доля сегодня составляет 20 процентов, и оно относится к числу самых недорогих — средняя стоимость криптомайнеров составляет до 80 долларов. Отмечу, что услуги, связанные с созданием и распространением вредоносного ПО, в дарквебе составляют чуть более половины от всех предложенных.

О его выгоде. Криптоджекинг выгоден всегда, так как расходует ресурсы чужих компьютеров, но его «доходность», конечно же, зависит от курса добываемой криптовалюты в конкретный период времени. Вспомним пример с рекламной сетью Google, где злоумышленники разместили вредоносный код майнера CoinHive: это позволило им генерить криптовалюты на ресурсах посетителей YouTube, когда те просматривали ролики. В этой истории математика могла быть примерно такой: за одну неделю непрерывного майнинга Monero (а там речь шла именно о нем) на типовом процессоре производительностью около 90 h/s можно было заработать примерно 1 доллар (по данным портала WhatToMine на начало 2018 года, когда и произошла эта история). Предположим, что рекламу за неделю посмотрело от 10 млн до 100 млн человек (то есть число пользователей YouTube в странах, которые подверглись атаке), каждый из них пробыл на сайте от 10 минут до 1 часа в день и средний хешрейт (в них измеряют эффективную вычислительную мощность оборудования для добычи криптовалюты.— «О») составлял 30–60 хешей в секунду (то есть 0,05–0,1 доллара прибыли в день). Далее вспомним, что сеть функционировала неделю, учтем 4 процента экономии на комиссии CoinHive (за счет использования собственного скрипта) в 10 процентах случаев и получим прибыль злоумышленника в диапазоне от сотен тысяч до пары миллионов долларов США. Подсчеты приблизительные, но доходность майнинга иллюстрируют вполне наглядно. Что позволяет утверждать: популярность криптоджекинга среди преступников скорее всего будет расти.

О новых киберпреступлениях. Относительно новым способом можно считать взлом расширений к браузерам, в частности Chrome: получив возможность публиковать новые версии взломанного расширения, злоумышленники смогут внедрить код для майнинга, который автоматически установится в браузер жертвы при очередном обновлении.

Вся лента