Pourquoi le botnet ZeroAccess a arrêté le minage de Bitcoin

Plusieurs rapports ont été publiés cette semaine détaillant comment l'entreprise de sécurité Symantec a démantelé une grande partie d'un botnet de minage de Bitcoin appelé ZeroAccess. Ce que peu, voire aucun, mentionne, c'est que la partie minage de Bitcoin du botnet est T depuis près de six mois, car ses développeurs l'ont délibérément désactivée. La question est : pourquoi ?

ZeroAccess est un logiciel malveillant qui relie un ordinateur infecté à un vaste réseau de machines également compromises. Ces machines peuvent ensuite être contrôlées par un administrateur central, communément appelé « désormais », qui les contrôle ensuite.

La plupart des botnets Réseaux sociaux des pratiques criminelles prévisibles : ils utilisent les ordinateurs des victimes pour envoyer du spam ou récupèrent simplement des informations sensibles sur les machines infectées afin que les cybercriminels puissent les exploiter pour voler de l'argent. D'autres sont utilisés pour la fraude au clic, où les machines sont forcées à cliquer sur des liens en ligne lucratifs.

ZeroAccess était différent, car il incluait un module de minage de Bitcoin . Le logiciel utilisait les processeurs des ordinateurs infectés pour miner des bitcoins, en retournant les bénéfices aux fauteurs de troubles.

ZeroAccess n'est T un nouveau botnet : Symantec l'a détecté pour la première fois à l'été 2011, selon Vikram Thakur, chercheur chez Symantec Security Response. La révision majeure suivante est apparue un an plus tard, suivie de modifications mineures.

Mais quelque chose d'important s'est produit en avril de cette année, a-t-il déclaré, poursuivant en expliquant :

ZeroAccess a abandonné le module de minage de Bitcoin en avril 2013. Le botnet a exploité la puissance de hachage de tous ces bots jusqu'en avril 2013, puis a déployé une mise à jour supprimant le module de minage. Depuis, plus aucun minage n'a eu lieu sur le réseau ZeroAccess.

Pourquoi les fauteurs de troubles tueraient-ils un module logiciel qui permettait à de nombreuses machines de produire joyeusement des bitcoins ?

De nombreux lecteurs avertis en concluront sans tarder que le minage par CPU est inutile, compte tenu de la difficulté élevée engendrée par l'augmentation rapide du taux de hachage sur le réseau. Cette situation est due à l'afflux de matériel de minage ASIC, qui évince les GPU, sans parler des CPU à la puissance de calcul insuffisante.

Symantecfait même les calculs, en prenant comme exemple un ordinateur de test relativement ancien. Il a utilisé un Dell OptiPlex GX620 Pentium D de 2 Go et 3,4 GHz pour évaluer la capacité du logiciel malveillant à miner. Il a consommé 136,25 watts par heure pour miner à 1,5 MHz/s. Comparez cela aux machines quiKNC Miner vient de commencer à être expédiéet c'est comme regarder unRobin Reliantà côté d'une Ducati.

Gregory Maxwell, ONEun des CORE développeurs de Bitcoin, affirme qu'un processeur rapide atteint environ 1 MH/GHz, ce qui signifie qu'une machine quad- CORE rapide à 3 GHz pourrait atteindre 12 MH/s. Mais les machines plus récentes sont-elles susceptibles d'être infectées ?

« Au moins dans le passé, j'avais l'impression que les machines de botnet avaient tendance à être des machines plus anciennes (moins susceptibles d'avoir des correctifs actuels), donc plus comme une machine à CORE unique de 2 GHz - ou 1,5 Mh/s », a-t-il déclaré.

Même si des machines plus rapides sont infectées, il est peu probable qu'elles utilisent toute leur puissance pour le minage. Ces estimations de taux de hachage supposent que les ordinateurs seront totalement inactifs, en permanence.

En pratique, le botnet n'est donc T susceptible d'avoir un impact significatif sur le réseau, affirme Maxwell. 1,9 million d'hôtes à 1,5 MH/s ne représentent qu'environ 2,85 TH/s. Le réseau est déjà hachage à plus de 1 Petahash par seconde, ce qui signifie que ce botnet est une petite affaire.

Mais rien de tout cela n'a vraiment d'importance, compte tenu du grand nombre d'utilisateurs qui T les principes de base de la sécurité informatique et sont régulièrement infectés. Dans le cas de ZeroAccess, ils étaient 1,9 million.

Supposons, pour le bénéfice des criminels, que l'utilisation partielle du processeur et l'infection de machines plus puissantes s'annulent, et que le taux de hachage moyen des 1,9 million de machines du réseau soit effectivement de 1,5 Mh/s. Un ordinateur moyen gagnerait environ 41 cents par an, selon Symantec. Mais 1,9 million d'entre eux rapporteraient des milliers de dollars par jour aux criminels. C'est de l'argent facile. Pourquoi le désactiver ?

Thakur a quelques pistes. La première concerne un mauvais flux de minage. « Le serveur du pool de minage possédait un domaine statique, qui aurait pu être démantelé par les forces de l'ordre si quelqu'un avait signalé les activités du botnet ; peut-être que le botmaster craignait d'être repéré à cause de la présence d'un domaine statique dans l'infrastructure de charge utile », a-t-il expliqué.

Cependant, il envisage un scénario plus probable, qui relève d'un simple cas d'économie. Même si les fauteurs de troubles gagnaient de l'argent grâce au minage illicite, ils pourraient en gagner davantage, de manière moins transparente. La question fondamentale est donc de savoir où investir au mieux la puissance de calcul.

Thakur suggère :

« Le botmaster n'a pas gagné autant d'argent grâce au minage de Bitcoin (pensez au facteur de difficulté) que grâce à la fraude au clic.











Il est très difficile de traquer la fraude au sein des réseaux publicitaires, ce qui rend plus lucratif le fait de cacher des profits derrière une telle infrastructure.

Ce ne sont que des suppositions éclairées, et tant que quelqu’un n’aura pas arrêté les fauteurs de troubles et les aura interrogés, nous n’en serons jamais sûrs.

Nous pensons qu'il s'agit d'une combinaison des deux, et peut-être aussi d'une réaction instinctive aux fluctuations du marché. Les fauteurs de troubles ont supprimé la fonction de minage de Bitcoin en avril, lorsque l'intérêt pour le Bitcoin a atteint un niveau record, et lorsque la monnaie s'est effondrée, passant de 266 $ à 40 $, ils ont peut-être décidé que la valeur de la monnaie ne justifiait T les cycles CPU supplémentaires à ce stade.

Gageons que le module de minage ne sera T réactivé maintenant que la puissance de hachage du réseau explose. Symantec vient également de mettre hors service un demi-million de machines, grâce à une manœuvre technique astucieuse appelée « sinkholing ». Les arguments en faveur de sa réintroduction ne cessent de s'amenuiser.

D’autre part, dès queLitecoinSi Scrypt, la cryptomonnaie prédominante basée sur le réseau Scrypt, optimisé pour les processeurs, parvient à se faire connaître du grand public et à capter l'attention des attaquants, on peut s'attendre à ce que les botnets en profitent pleinement. Si cela se produit, cela prendra quelques années.