Чому ботнет ZeroAccess зупинив майнінг Bitcoin

Цього тижня з’явилося кілька повідомлень про те, як компанія безпеки Symantec ліквідувала значну частину ботнету ZeroAccess для майнінгу Bitcoin . Мало хто згадує, якщо взагалі згадує, що частина ботнету, яка займається видобутком Bitcoin, T працювала майже шість місяців, оскільки розробники навмисно вбили її. Питання в тому, чому?

ZeroAccess — це зловмисне програмне забезпечення, яке приєднує заражений комп’ютер до великої мережі подібних скомпрометованих машин. Потім ними може керувати центральний адміністратор, якого зазвичай називають набридликом, який потім змушує машини виконувати його завдання.

Більшість бот-мереж Соціальні мережі передбачувану злочинну практику, використовуючи комп’ютери жертв для надсилання спаму або просто збирання конфіденційної інформації на заражених машинах, щоб кіберзлочинці могли використовувати їх для викрадення грошей. Інші використовуються для шахрайства з кліками, коли машини змушують натискати прибуткові онлайн-посилання.

ZeroAccess відрізнявся тим, що він містив модуль для майнінгу Bitcoin . Програмне забезпечення використовувало процесори заражених комп’ютерів, щоб Майніть біткойни, повертаючи прибуток порушникам.

ZeroAccess — це T новий ботнет — Symantec вперше побачив його влітку 2011 року, як стверджує Вікрам Тхакур, дослідник Symantec Security Response. Наступна велика редакція з’явилася через рік, а між ними були знайдені незначні редакції.

Але у квітні цього року сталося щось важливе, сказав він, пояснивши:

«ZeroAccess припинив підтримку модуля майнінгу Bitcoin ще в квітні 2013 року. Ботнет використовував потужність хешування всіх цих ботів до квітня 2013 року, а потім випустив оновлення, яке фактично видалило модуль майнінгу. Відтоді майнінгу в мережі ZeroAccess не відбувалося».

Навіщо зловмисникам вбивати програмний модуль, який змушував багато машин із задоволенням скидати біткойни?

Багато технічно проникливих людей, які прочитають це, прийдуть до очевидного висновку, який полягає в тому, що майнінг ЦП є безглуздим, враховуючи високу складність, спричинену швидким зростанням хешрейту в мережі. Це, в свою чергу, викликано потоком обладнання для майнінгу ASIC, яке витісняє графічні процесори, не кажучи вже про процесори з обчислювальною анемією.

Symantec навіть робить математику, взявши за приклад відносно старий тестовий комп’ютер. Він використовував машину Dell OptiPlex GX620 Pentium D 2 ГБ, 3,4 ГГц, щоб перевірити, наскільки зловмисне програмне забезпечення може спричинити його видобуток. Він використовував 136,25 Вт на годину для майнінгу зі швидкістю 1,5 МГ/с. Поставте це поруч із машинами, які KNC Miner щойно почав доставку і це схоже на перегляд a Надійний Робін поруч з Ducati.

Грегорі Максвелл, ONE із CORE команди розробників Bitcoin, каже, що швидкий ЦП працює в районі 1 МГц/ГГц, тобто швидка чотирьохядерна машина з CORE 3 ГГц може працювати 12 МГц/с. Але чи ймовірно, що серед заражених будуть нові машини?

«Принаймні в минулому, у мене склалося враження, що ботнет-машини, як правило, були старішими машинами (з меншою ймовірністю мають поточні виправлення), тому більше нагадували CORE машину 2 ГГц — або 1,5 Мг/с», — сказав він.

Навіть якщо швидші машини заражені, навряд чи вони будуть використовувати всю свою потужність для майнінгу. Ці оцінки швидкості хешування припускають, що комп’ютери весь час будуть повністю неактивні.

Тому на практиці ботнет T чи матиме значний вплив на мережу, стверджує Максвелл. 1,9 мільйона хостів 1,5 MH/s дорівнює приблизно 2,85 TH/s. Мережа вже є хешування зі швидкістю понад 1 петахеш на секунду, що означає, що цей ботнет — дрібна картопля.

Але все це насправді не має значення, завдяки величезній кількості користувачів, які T розуміються на основах ІТ-безпеки та регулярно заражаються. У випадку ZeroAccess їх було 1,9 мільйона.

Припустімо — на користь злочинців — що часткове використання процесора та зараження більш потужних машин компенсують одне одного, і що середня швидкість хешування для 1,9 мільйона машин у мережі справді становила 1,5 МГ/с. За даними Symantec, середній комп’ютер заробляв би близько 41 цента на рік. Але 1,9 мільйона з них карбували б тисячі доларів на день для злочинців. Це легкі гроші. Навіщо вимикати?

У Тхакура є кілька ідей. По-перше, це поганий процес майнінгу. «Сервер пулу для майнінгу мав статичний домен, який міг бути ліквідований правоохоронними органами, якби хтось повідомив про діяльність ботнету; можливо, ботмайстер боявся бути відстеженим через наявність статичного домену як частини інфраструктури корисного навантаження», — сказав він.

Однак у його голові є більш вірогідний сценарій, який є основним прикладом економіки. Навіть якби зловмисники заробляли гроші на незаконному видобутку корисних копалин, вони могли б заробляти більше грошей, менш прозоро, що ставить головне питання про те, куди краще витратити обчислювальну потужність.

Тхакур пропонує:

«Ботмайстер не заробив майже стільки грошей на майнінгу Bitcoin (подумайте про фактор складності), ніж на шахрайстві з кліками.











Відстежити шахрайство в рекламних мережах дуже важко, тому приховувати прибутки за такою інфраструктурою стає більш прибутковим».

Це все обгрунтовані припущення, і ми ніколи не дізнаємося напевно, доки хтось не схопить зловмисників і не допитає їх.

Ми припускаємо, що це поєднання двох, а також, можливо, різка реакція на рух ринку. Зловмисники скасували функцію видобутку Bitcoin у квітні, коли інтерес до Bitcoin досяг історичного максимуму, і коли валюта впала з 266 доларів до 40 доларів. Можливо, вони вирішили, що вартість валюти T виправдовує додаткові цикли ЦП на той момент.

Ми впевнені, що модуль майнінгу T буде повторно активовано зараз, коли потужність хешування мережі стрімко зростає. Крім того, Symantec щойно вивела з ладу півмільйона машин, виконавши влучну технічну дію, відому як синкхолінг. Причин для його повторного впровадження постійно звужується.

З іншого боку, як тільки Litecoin – переважна монета, заснована на зручній для ЦП мережі Scrypt – досягає загальної обізнаності та привертає увагу порушника, ми можемо очікувати, що ботнети скористаються повною мірою. Якщо це станеться, то через пару років.