Для майнинга биткоинов используют ботнеты

Группа программистов из Калифорнийского университета в Сан-Диего всесторонне оценила то, как операторы вредоносных программ используют зараженные ими компьютеры для майнинга биткоинов.

Напомним, что биткоины — это виртуальная валюта с весьма нестабильной ценностью.

Всего ученые исследовали более 2000 участков вредоносных программ, задействованных в майнинге биткоинов в 2012 и 2013 годах. Они сумели оценить объем операций и охваченные наибольшей активностью страны. Программисты сообщили, что доход от 10 операций по майнингу составил минимум 4500 биткоинов за более чем два года. На первый взгляд это не так уж и много, но за эти два года ценность биткоинов возросла с 10 до 1000 долларов, с пиковым значением в 1100 долларов в ноябре 2013 года. Сейчас один биткоин стоит примерно 618 долларов.

Майнинг биткоинов особенно привлекателен для операторов вредоносных программ вследствие их низкой стоимости и практически полного отсутствия инвестиций. «На текущем уровне стоимости биткоинов майнеры с доступом к значительным компьютерным мощностям буквально печатают деньги на собственном станке», сообщил аспирант Дэнни Юань, первый автор исследования.

Процесс обладает потенциалом смены правил игры в области вредоносных программ, пояснил профессор информатики Алекс Снорен из школы инжиниринга Якобса при университете. «То, что становится сверхвыгодным, способно вдохнуть новую жизнь в индустрию вредоносных программ», сказал он.

Данное исследование — часть более масштабной работы программистов университета, направленной на лучшее понимание того, как операторы вредоносных программ делают деньги, от рассылки спама до кражи личных данных, таких как номера кредитных карт.

«Данные транзакции показывают, как общество и технологии изменяют друг друга», сказал Юань. Свой доклад ученые сделали в ходе Network Distributed System Security, которая 23-25 февраля сего года прошла в Сан-Диего.

В погоне за деньгами

Большинство инфицированных компьютеров было расположено в Европе. Но вредоносные программы были найдены также в Азии и в Латинской Америке. Не избежали заражения и США. Например, известная вредоносная программа ZeroAccess вела майнинг на минимум 2600 компьютерах. В целом компьютеры были заражены в более чем 60 странах, включая Бразилию, Мексику, Вьетнам, Францию, Турцию и Болгарию.

Большинство основных игроков — это известные операторы вредоносных программ. Они набрали от нескольких сотен до нескольких тысяч биткоинов за период исследования, с декабря 2011 по ноябрь 2013 года.

Большинство управляющих ботнетами обменяли полученные биткоины на доллары в различных обменниках, что означает наличие желания скорейшей обналички средств.

«Мы хотели понять, кто эти люди. Возможно, это энтузиасты, которые просто перешли на темную сторону?», предположил исследователь и один из ведущих авторов статьи Кирилл Левченко. „Обналичка позволяет предположить, что это не так“

Майнинг биткоинов операторами вредоносных программ возрос в 2011 году и был довольно широко распространен в прошлом году. Вследствие постоянно растущих требований к вычислительным мощностям для майнинга популярность метода падает. Есть данные, что некоторые операторы переключились на лайткоины, еще одно виртуальную валюту со схожим принципом.

Во время взлета биткоинов операторы ботнета с 10000 компьютеров в составе сети в сутки зарабатывали порядка 100 долларов. Но с ростом популярности валюты повысились требования к вычислительным мощностям компьютеров, используемых для майнинга. Эти требования растут по экспоненте. В итоге те же 10000 компьютеров сегодня позволяют зарабатывать уже не 100, а лишь 10 долларов в сутки.

Снорен с коллегами полагают, что на данном этапе операторы вредоносных программ не создают ботнеты исключительно для майнинга биткоинов. Но операция по майнингу биткоинов теперь наверняка добавлена в портфель вредоносных активностей, таких как спам. Майнинг биткоинов хорошо сочетается с рассылкой спама или так называемым кликфродом, и обладает низкими накладными расходами, пояснил Снорен. «Это шальные деньги», заявил ученый.

Ботнеты и майнинг биткоинов: как это работает

Операторы вредоносных программ берут под контроль компьютеры, используя уязвимости в браузерах или плагинах для браузеров, таких как Java и Flash. Вредоносная программа инфицирует компьютеры рядом программ, которые приводят к тому, что машины начинают участвовать в незаконной активности без ведома владельца. Инфицированные компьютеры объединяются в сеть, известную как ботнет. Операторы могут использовать объединенную мощность компьютеров ботнета для выполнения комплексных вычислений, требуемых для майнинга биткоинов.

Майнинг биткоинов очень похож на участие в лотерее, поясни Снорен. Это такой цифровой эквивалент шести цифр из барабана и анализ, подходят ли эти цифры для заработка. Шансы на выигрыш для пользователя одного компьютеры близки к нулю, подобно шансам сорвать джекпот у того, кто купил один лотерейный билет. А много компьютеров, работающих параллельно, подобны оптовой закупке лотерейных билетов.

Чтобы обнаружить нелегальный майнинг, исследователи проконсультировались с экспертами и теми, кто управляет объединениями по майнингу биткоинов. Программисты ожидали, что операторы вредоносных программ скрыли майнинг за прокси. Вместо этого они обнаружили, что операторы зачастую занимаются майнингом, не скрываясь, и присоединяются к публичным пулам.

Майнинг в публичных пулах делает операторов вредоносных программ видимыми, но управляющие пулами редко «сдают» их, опасаясь репрессий, большей частью в форме атак „отказ в обслуживании“. Формирование законодательной базы и применение закона было бы более стабильной мерой, убежден Снорен.

«Это могло бы быть эквивалентом уклонения от налогов для Аль Капоне», заключил ученый.