Пираты эры интернета: Часть 2. Скрытый майнинг и что с ним делать

Все про скрытый майнинг криптовалют


Майнить криптовалюту может чуть ли не каждый пользователь интернета. Иногда – даже не зная об этом. И криптомонетки идут в доход совсем не ему. Что такое скрытый майнинг и как его избежать?


В первой части статьи мы рассказали о том, что такое криптовалюты и как они добываются, почему эволюционировали средства майнинга и с какими рисками сопряжен процесс генерации криптомонет. Во второй части мы раскроем тайну, что такое пиратский майнинг и как с ним бороться.



Криптовалюта? На абордаж!

С точки зрения правового регулирования криптовалюты – сплошная головная боль: в большинстве своем государства оказались не готовы к тому, что у фиатных денег появится полноценный виртуальный конкурент, лишенный недостатков обычной валюты. Однако экономическая ценность криптовалют строится на классическом принципе товарного обмена: спрос укрепляет предложение, и чем сильнее вера людей, что они смогут обменять имеющуюся у них криптовалюту на материальные ценности (например, на пиццу :-) ), тем прочнее позиции валюты. С этим уже придется смириться, и рано или поздно цифровые деньги получат глобальное признание. В Японии, например, биткоин с марта 2016 года признан законным платежным средством; ЕС отменил налогообложение операций обмена биткоинов на фиатные валюты, Швейцария, Болгария, Сингапур, США, Хорватия и многие другие страны признали криптовалюты разновидностью финансовых активов.


Кстати, Германия тоже, поэтому клиенты SIM-Networks могут оплатить услуги нашей компании наиболее популярными криптовалютами – Bitcoin, Litecoin и Etherium. В материале “Мы принимаем расчеты и в криптовалютах” мы рассказываем, как это сделать.


Хотя нельзя не признать разумными аргументы противников криптовалют, упирающих на то, что анонимные и децентрализованные деньги легко используются криминалитетом для легализации доходов, полученных противоправным путем. Да, криптовалюты пока “в тени” – там они и останутся до тех пор, пока государства законодательно не определят их роль и функции в своей экономической системе. А пока нет закона – будет хаос, порождающий благоприятные условия для пиратского майнинга.


Добывать криптовалюты на собственных ресурсах – это приемлемый способ получения дохода, пусть даже не везде и не совсем легальный. Однако когда для него используются не собственные, а чужие ресурсы, когда нагрузка ложится на чужой процессор, а профит получает сторонний пользователь, – согласитесь, это неприемлемо с любой точки зрения.


Какими бывают способы заражения вирусом майнинга


С древних веков пиратами называли разбойников, агрессивно присваивающих чужие ценности. В цифровую эпоху слово “пиратство” приобрело еще одно значение: в интернете пираты обычно действуют тихо, скрытно, и отнимают то, на что не имеют права, стараясь остаться незамеченными. В случае с майнингом их задача – продержаться незамеченными как можно дольше. Такое поведение характерно для вирусов, поэтому часто используют термин “вирус майнинга”.


У пиратского майнинга еще много имен: скрытый майнинг (stealth mining), черный майнинг, криптоджекинг (cryptojacking). Суть одна – майнить криптовалюту на чужих мощностях без ведома и согласия хозяина. Попадают скрытые майнеры на компьютеры пользователей разными путями:

  • прямой подсадкой (редко, но бывает: например, обидевшись на увольнение, сотрудник загружает майнер с флешки напрямую в корпоративную сеть);
  • с помощью разнообразных троянов, бэкдоров и прочих вредоносов из “крякнутых” программ, генераторов ключей, инсталляторов, скачанных на пиратских сайтах медиа-файлов и т.д. Проверить такой софт не всегда легко, чем и пользуются современные флибустьеры;
  • через несанкционированный удаленный доступ: “письма счастья”, подозрительные вложения могут заразить вашу систему майнером;
  • через интернет-браузеры.


В этой связи совершенно нелишним будет в очередной раз повторить базовые правила информационной безопасности. Подробнее – читайте в нашем материале “Кибербезопасность организации: защищаем информационный периметр”. Не забывайте соблюдать правила информационной гигиены!


Изредка попадаются и более экзотические способы пиратского захвата чужих ресурсов под майнинг. Так, в конце 2017 года мир огорошила новость, что провайдер WiFi в сети Starbucks в Буэнос-Айресе майнил себе монеро... на компьютерах посетителей кафе!


Кстати,  на волне популярности криптовалют процветают и обычные хакеры: поманив простачков бесплатной раздачей биткоинов и эфира за якобы привлечение рефералов, предприимчивые ребятки неплохо поживились. Проверка информации и критическое мышление в таких случаях могут сэкономить вам кучу денег и нервных клеток.

Окно в чужой компьютер: скрытый майнинг в браузере

Очевидный признак работы скрытого майнера – большое потребление ресурса, за счет чего замедляется работа приложений. Бывало ли у вас, что браузер начинает не просто очень медленно работать, а буквально тормозит? Открываешь диспетчер задач, смотришь загрузку ЦПУ, а там – больше 90% ресурса съедает один только браузер. Сколько бы вкладок ни было открыто – одна или тридцать одна – браузер заставляет работать процессор на полную катушку. Наблюдали такое? Попробуйте отключиться от интернета: если после этого компьютер тут же прекращает тупить, – соболезнуем, вероятнее всего, вы стали жертвой пиратского майнинга через браузер. 


Браузерный майнинг – одна из разновидностей скрытого майнинга. Вредоносный код прописан в специальном JavaScript-сценарии, запустить который можно, просто открыв окно браузера. Говорят, эффективность у него минимальная, если сравнивать со майнерским ПО или внедренными троянами-майнерами. Но если учесть эффект масштаба, когда суточная посещаемость сайта измеряется десятками тысяч юзеров, доход “шахтеров”-пиратов может быть достаточно весомым, чтобы продолжать эту деятельность. Какие сайты могут пользоваться высокой популярностью, что интересует большинство пользователей? Новости, футбол, погода – вот первое, что приходит на ум. Или, например, веб-ресурсы с бесплатными книгами и научными работами, которые в месяц посещает около полутора миллиона человек – почему нет? Ведь студенты, аспиранты, школьники – очень перспективная целевая аудитория для мошенника, им всегда нужно откуда-то брать рефераты и тексты для докладов, и условно-бесплатный сыр безотказно заманивает их в криптомайнинговую мышеловку.


Майнить можно не только на компьютерах, но и используя мобильные устройства. Скачивая на планшет или смартфон приложение, вы не можете быть уверены в том, что его код не содержит скрипта для запуска скрытого майнера. В конце 2017 – начале 2018 года в СМИ прокатилась волна публикаций о том, что майнинг-скрипты обнаруживали в приложениях на Google Play и в браузерных расширениях.


На многочисленных форумах IT-порталов тема криптоджекинга поднимается очень часто. Например, в треде на searchengines.guru заметили, что часто JS-майнеры обнаруживаются в баннерах на сайтах. Интересен кейс внедрения майнера в рекламу на YouTube, отмеченный в январе 2018 года. Двухкомпонентный JavaScript-майнер запускался при просмотре видео и загружал CPU на 80%. Не сработала в этом случае знаменитая высокоуровневая защита ресурсов Google, и бесчинство пиратов продолжалось на протяжении нескольких дней:



На диаграмме выше показана активность вредоносной кампании с 18 по 24 января 2018 года. Учитывая огромное число посетителей самого популярного видеоресурса в Сети, недели злоумышленникам хватило, чтобы сорвать неплохой куш и тихо исчезнуть – после 24 января активность майнера затухла, добыча криптовалюты прекратилась.


Еще уловка – спрятать майнер в поп-андер. В этом случае его очень сложно обнаружить. И даже при закрытии окна браузера он продолжает свою деятельность, поэтому жертва, не подозревая подвоха, продолжает добывать для мошенника криптомонеты.


Антивирус может не заметить в коде страницы выполнение джава-скрипта и не забьет тревогу. Вы даже можете не обратить внимание на то, что нагрузка на процессор выросла – если криптопират достаточно умен, он не будет загружать ваше устройство на полную мощность. А ваш компьютер тем временем добывает криптомонетки для кого-то неизвестного. Но иногда для того, чтобы прекратить безобразие достаточно просто отключить в браузере выполнение джава-сценариев.


Конечно, в браузерах майнить биткоины или их форки невыгодно – малая мощность, медленная окупаемость. Наиболее популярная криптовалюта для браузерного майнинга – Monero. Она не требует особо мощных ресурсов, ее можно майнить и на обычном ПК. В отличие от BTC и ему подобных криптовалют, в основе Монеро лежит вычислительный протокол CryptoNote с особым алгоритмом подтверждения работы PoW. Это обеспечивает почти полную анонимность пользователей, что объясняет огромную популярность Monero в Даркнете. Определить владельцев кошельков по транзакционному следу, как это можно сделать, например, с биткоином, делает невозможным технология “адресов-невидимок” (англ. stealth addresses), используемая в монеро; групповые конфиденциальные транзакции позволяют скрывать суммы каждой такой сделки, а ведь для “сумеречных” жителей Darknet нет ничего ценнее полной конфиденциальности.


Поэтому неудивителен стабильный рост майнеров, нацеленных на добычу именно монеро. Но пока одни делают это в открытую, своими силами и на своем оборудовании, другие прибегают к пиратским методам.

Что делать, если вы нашли скрытый майнер на компьютере

Впрочем, существует точка зрения, что майнинг на сайте становится дополнительным и достаточно эффективным средством монетизации сайта, наряду с рекламными баннерами и другими средствами. Широкую огласку в интернете получил эксперимент, проведенный в сентябре 2017 года одним из крупнейших мировых торрент-трекеров The Pirate Bay: на 24 часа они внедрили майнинг-скрипт, загружавший CPU посетителей сайта на 100%. По некоторым подсчетам, этот скрипт способен принести владельцам “Пиратской бухты” более $45 тыс. в месяц. Согласитесь, эта сумма впечатляет. И вполне возможно, что в обозримом будущем привычная нам баннерная реклама перестанет быть выгодной для сайтов, по сравнению с браузерными майнерами.


Но пока это время не пришло – и, вынужденно отдавая часть своего ресурса в пользу чужого криптокошелька, мы справедливо возмущаемся и ищем способы, как защититься от пиратского майнинга.


В интернете можно найти множество рецептов лечения криптоджекинговой заразы: от простейшего отключения исполнения JS-сценариев в браузере до комплексной многоуровневой очистки разнообразными антивирусными программами. Один из простейших способов – установить расширение Антимайнер для браузера Chrome. Его разработчики обещают, что он автоматически блокирует любой программный майнер на сайтах, куда заходит пользователь. Иногда этого достаточно.


В особо запущенных случаях, правда, скрытые майнеры внедряются в компьютер внутри многомодульной программы, которая уже сама отслеживает поведение пользователя и стремится всеми силами скрыть присутствие “чужого”: убирает его из окна диспетчера задач, либо маскирует под один из процессов Windows, приостанавливает майнер, если запускается мониторинг активности (и у вас волшебным образом мгновенно возрастает производительность), отключает антивирусное сканирование системы. Если же пользователь обнаружит сторонний софт и удалит его, эта вирусная программа способна восстановить майнер и возобновить добычу криптомонет.


Или “свеженький” многокомпонентный зловред, атакующий веб-серверы и майнящий монеро исключительно на видеокартах AMD NVidia: он использует сразу семь эксплойтов, включая EternalBlue. Попадая на веб-сервер, осматривается на местности – нет ли поблизости средств мониторинга ПО, аналитики и прочих инструментов, способных раскрыть его инкогнито. Если есть – тихо закукливается и не отсвечивает. Если же нет – разворачивается во всей красе: и майнит крипту, и крадет данные, и с правами доступа и привилегиями в системе балуется, и ломает программно-аппаратные средства, может и кибератаку на соседскую инфраструктуру организовать. Просто мастер на все руки...


Однако и на такие случаи найдутся противоядия – надо просто хорошо поискать. И, конечно, не пренебрегать хорошей антивирусной защитой, способной распознавать и программы-майнеры.

А что скажет SIM-Networks?

Несмотря на распространенное заблуждение, что майнинг – это пассивный заработок, не требующий усилий, говорить о том, что майнинг зарабатывает деньги “из воздуха” нельзя. Стоимость оборудования (CPU, GPU, ферма или ASIC) – это затраты. Стоимость электроэнергии, в том числе и на усиленное кондиционирование помещения с фермой, – это затраты. Стоимость интернет-трафика и роутера для стабильной работы – это затраты. Тем и отличается майнинг классический от пиратского – последний перекладывает львиную долю затрат на чужие плечи. Вернее, процессоры.


Существуют законодательные нормы, нарушение которых неприемлемо. Но есть ведь и нормы морали, человеческая ответственность перед обществом и собственной совестью. На этом строится этическая база SIM-Networks, и потому защита прав пользователей и вопросы информационной безопасности у нас имеют высший приоритет. В нашем публичном договоре с клиентами прописано ограничение в обслуживании клиентов, которые используют ресурсы компании для майнинга: майнинг запрещен на всех услугах, кроме выделенных серверов. Почему? Джентльмены, очень просто: в приличном обществе считается крайне непристойным использовать общие распределенные ресурсы для достижения личных, сугубо меркантильных целей. Проще говоря, на шареном хостинге, VDS или в публичном облаке ваш майнинг “отъедает” часть общих ресурсов, ведь, несмотря на полную изолированность клиентов, база мощностей общая. Соседям придется против их воли “делиться” с вами своими ресурсами, дозаказывать себе новые конфиги, тратить собственные средства, – пока ваш майнер приносит вам доход. Это, господа, совсем не комильфо! Заявляем прямо: мы блокируем таких клиентов за нарушение наших правил.


Бывают, конечно, случаи, когда клиента “ломают” и паразитируют на его ресурсах. Тем не менее, обнаружив майнерскую активность, SIM-Networks расценивает это как нарушение наших условий предоставления услуг и вправе ограничить доступ такому клиенту.


Есть ли выход? Конечно. Выделенный сервер или частное облако – всегда к вашим услугам. Если есть подозрение на хакерскую деятельность, можно обратиться в нашу техподдержку и заказать услугу администрирования. Наши специалисты проведут аудит системы и выяснят все подробности происходящего с ней.


Кроме того, по вашему запросу мы можем собрать практически любую конфигурацию выделенных серверов, да хоть ферму в частном облаке! И все это – для вас, не задевая интересов других клиентов, по вашим требованиям, под ваш бюджет и с учетом ваших пожеланий по оплате. У нас возможно почти всё. Да, и круглосуточная поддержка тоже – обращайтесь, они помогут!




При подготовке использовались материалы ресурсов:

http://www.tadviser.ru/

https://cryptonet.biz/

https://korrespondent.net/

https://news.finance.ua/

http://kotnebankrot.com/

https://www.kaspersky.ru/

https://securelist.ru/

https://www.cbsnews.com/news/

https://www.vice.com/

https://bitnovosti.com/

https://forklog.com/sp/

https://www.opennet.ru/

http://profinvestment.com

https://blog.trendmicro.com

https://searchengines.guru/

https://itc.ua/

https://meduza.io/

https://ru.ihodl.com/

https://prostocoin.com/

https://habr.com/

http://safe.cnews.ru/



Автор: Алиса Кандеева

Понравилась статья? Поделитесь ею в социальных сетях!