Мир охватила эпидемия криптоджекинга? С подробностями - Кирилл Журенков и Светлана Сухова

Мир атаковала вредоносная программа WebCobra - она тайно добывает криптовалюту Monero, заражая чужие компьютеры. А специалисты предупреждают: скрытый майнинг опередил в 2018-м все другие киберпреступления!

Вот новый пугающий тренд: сегодня киберпреступники крадут не ваши деньги, а ваши… вычислительные мощности. Точнее, мощности ваших компьютеров. Это называется криптоджекинг (от англ. cryptojacking - "крипто" и "воровство"), или использование чужих устройств для добычи криптовалют. Согласно отчету разработчика программного обеспечения для кибербезопасности Trend Micro, количество случаев обнаружения криптоджекинга только за первую половину 2018-го выросло на… 141 процент и, похоже, потеснит с первого места вирусы-вымогатели. Думаете, речь про Запад? Не только: в компании Avast предупреждают об увеличении числа атак с целью криптоджекинга на компьютеры россиян в этом сентябре - всего за месяц было зафиксировано 5,1 млн таких нападений! Впрочем, до рекорда пока далеко: он был установлен в ноябре 2017-го, тогда было зафиксировано 40,4 млн атак!

Как это происходит? Разберемся. Представьте, что вы заходите на какой-нибудь сайт и пока читаете текст или смотрите видеоролик, ваш ПК или ноутбук добывает криптовалюту. Только не для вас, а для других. Год назад такая незаметная программка, установленная неизвестно кем, оказалась на сайте популярного платного телеканала Showtime: каждый, кто заходил на этот сайт, помогал добывать криптовалюту. А вот другой пример - нынешним летом стало известно об установке майнинговой программы на скандально известном торрент-трекере The Pirate Bay. Торрент, правда, решил майнить в открытую и сосредоточился на одной из криптовалют - Monero, что само по себе показательно. Говорят, сегодня наибольшей популярностью в "серой" зоне пользуются относительно новые альтернативы Bitcoin - та же Monero или zCash: якобы транзакции в таких криптовалютах труднее отследить. К тому же для майнинга Bitcoin требуются большие мощности…

- Что представляет собой криптоджекинг? Майнинг криптовалют при посещении сайта, где установлено соответствующее программное обеспечение,- объясняет "Огоньку" Денис Солдатов, член экспертного совета по развитию финансовых технологий при комитете Госдумы по финансовому рынку.- При этом хакеры могут скрыто перенаправлять пользователей на такие сайты, а владельцы сайтов не догадываться, что являются распространителями вредоносных программ. Есть доступное ПО для установки на сайт с целью майнинга криптовалют, например, CoinHive для добычи Monero. По задумке оно должно помочь владельцам сайтов монетизировать свой контент. Но тут, конечно, многое зависит от них самих: по-хорошему пользователей должны предупреждать об использовании этих ресурсов для майнинга. Все ли делают это на практике - вопрос открытый.

Как открыта и другая, не менее актуальная проблема: популярностью у преступников пользуется и взлом обыкновенных компьютеров - как раз с целью установки скрытого программного обеспечения для добычи криптовалют. Как отмечает Денис Солдатов, в этом случае уже не важно, с какой целью используются мощности зараженного ПК - можно заполучить целый комплект, от "троянов" до участия в "ботнетах" (компьютерных сетях, предназначенных, к примеру, для DDos-атак).

- Можно сказать, что у России есть своя специфика,- продолжает Солдатов.- Даже при правильно настроенном антивирусном ПО наши соотечественники умудряются сами установить себе подозрительные программы, порой в силу низкой компьютерной грамотности, порой из любви к халяве. Очень часто пользователи становятся и жертвами "социальной инженерии" (письма на электронную почту или смс-оповещения, которые заражают гаджет.- "О"), которую практикуют хакеры.

Вы замечали, что вычислительные мощности вашего ПК быстро "забиваются", а сам он сильно нагревается? Возможно, с вашей помощью кто-то уже намайнил себе состояние! Однако технологии не стоят на месте: недавно вредоносная программа ADB.Miner была обнаружена… в телефонах с системой Android в Китае и Южной Корее!

Страдают, впрочем, не только отдельные пользователи, но и целые организации. По словам главы киберразведки компании Darktrace Джастина Файера, популярность набирают незаконные майнинговые операции, производимые "инсайдерами".

- Их часто запускают сотрудники компаний, у которых есть высокий уровень сетевых привилегий и которые обладают соответствующими навыками,- цитирует эксперта MIT Technology Review. К примеру, в практике Джастина был случай, когда его команда разоблачила сотрудника крупной телекоммуникационной фирмы: тот намеревался использовать ее серверы для майнинга.

Дело, конечно, не только в том, что преступники "крадут" вычислительные мощности. Майнинг требует больших энергозатрат, а ведь не всякая сеть это выдержит. Например, несколько месяцев назад у одного незадачливого майнера из города Северска в Томской области на балконе сгорела майнинговая ферма!

А вот и новая страшилка - ее зовут WebCobra, это вредоносная программа для криптоджекинга и у нее русские корни. WebCobra уже ударила по Бразилии, США и даже ЮАР. Специалисты предупреждают: суперпрограмма выясняет всю подноготную системы, в которую проникает, и для каждого компьютера устанавливает своего майнера. Но самое страшное: заразившись, вы так и не узнаете об этом, не случайно программу уже прозвали "тихим убийцей". У новости есть и неожиданный поворот: как поясняют эксперты McAfee, всплеск криптоджекинга (и в частности, появление WebCobra) коррелирует с ростом курса криптовалют! Например, когда курс Monero скакнул в 2017–2018 годах до 350 долларов, число программ по криптоджекингу тоже резко выросло… с 500 тысяч до примерно 2 млн!

- В классических криптовалютах, основанных на решении сложных задач (proof of work), майнинг затратен с точки зрения закупки специализированных компонентов и с точки зрения ресурсов, в первую очередь электроэнергии,- поясняет председатель Ассоциации "Электронные деньги" Виктор Достов.- При резких падениях стоимости валют себестоимость остается примерно такой же, и майнеры начинают работать себе в убыток. Криптоджекинг экономически устроен не так (основные затраты идут на привлечение невольных майнеров, которые уже сами оплачивают электроэнергию), но общая логика та же: при резком падении стоимости валюты затраты на вовлечение майнера могут существенно превысить выгоду. Интуитивно кажется, что запас прибыльности для криптоджекинга выше, чем для честного майнинга и сезонные колебания должны быть меньше.

В свою очередь, Денис Солдатов на вопрос, как защититься от криптоджекинга и взлома, разводит руками: основные принципы известны.

- Пользоваться официальными лицензионными программами и постоянно их обновлять,- уточняет эксперт.- Конечно, растущая сложность майнинга некоторых криптовалют является сдерживающим фактором. Не исключено, что и число преступлений в этой сфере сократится. Но не надо забывать: добыча криптовалют в режиме PoW (bitcoin, litecoin и пр.) - это лотерея и каждый имеет шанс найти заветный блок. Так что вряд ли злоумышленники от этого шанса откажутся.

Кирилл Журенков, Светлана Сухова

экспертиза
Темный и доходный

Арсений Реутов, руководитель отдела исследований по защите приложений Positive Technologies

О причинах популярности криптоджекинга. Майнеры - очень распространенное вредоносное программное обеспечение (ПО). Спрос на него можно объяснить тем, что криптоджекинг позволяет получать монеты сразу, без шантажа, хищения средств со счетов и т.д. Криптоджекинг не требует особых навыков от злоумышленника. Поэтому, безусловно, случаи нелегального майнинга учащаются. Наши исследования показывают, что ПО для скрытого майнинга получило более чем широкое распространение: среди выставленного на продажу в дарквебе (или темной сети.- "О") вредоносного программного обеспечения его доля сегодня составляет 20 процентов, и оно относится к числу самых недорогих - средняя стоимость криптомайнеров составляет до 80 долларов. Отмечу, что услуги, связанные с созданием и распространением вредоносного ПО, в дарквебе составляют чуть более половины от всех предложенных.

О его выгоде. Криптоджекинг выгоден всегда, так как расходует ресурсы чужих компьютеров, но его "доходность", конечно же, зависит от курса добываемой криптовалюты в конкретный период времени. Вспомним пример с рекламной сетью Google, где злоумышленники разместили вредоносный код майнера CoinHive: это позволило им генерить криптовалюты на ресурсах посетителей YouTube, когда те просматривали ролики. В этой истории математика могла быть примерно такой: за одну неделю непрерывного майнинга Monero (а там речь шла именно о нем) на типовом процессоре производительностью около 90 h/s можно было заработать примерно 1 доллар (по данным портала WhatToMine на начало 2018 года, когда и произошла эта история). Предположим, что рекламу за неделю посмотрело от 10 млн до 100 млн человек (то есть число пользователей YouTube в странах, которые подверглись атаке), каждый из них пробыл на сайте от 10 минут до 1 часа в день и средний хешрейт (в них измеряют эффективную вычислительную мощность оборудования для добычи криптовалюты.- "О") составлял 30–60 хешей в секунду (то есть 0,05–0,1 доллара прибыли в день). Далее вспомним, что сеть функционировала неделю, учтем 4 процента экономии на комиссии CoinHive (за счет использования собственного скрипта) в 10 процентах случаев и получим прибыль злоумышленника в диапазоне от сотен тысяч до пары миллионов долларов США. Подсчеты приблизительные, но доходность майнинга иллюстрируют вполне наглядно. Что позволяет утверждать: популярность криптоджекинга среди преступников скорее всего будет расти.

О новых киберпреступлениях. Относительно новым способом можно считать взлом расширений к браузерам, в частности Chrome: получив возможность публиковать новые версии взломанного расширения, злоумышленники смогут внедрить код для майнинга, который автоматически установится в браузер жертвы при очередном обновлении.

Авторы: Кирилл Журенков Светлана Сухова

Журнал "Огонек" №44 от 19.11.2018, стр. 4