Perché la botnet ZeroAccess ha fermato il mining Bitcoin

Questa settimana sono stati pubblicati diversi report che descrivono in dettaglio come la società di sicurezza Symantec abbia eliminato una grande porzione di una botnet di mining Bitcoin chiamata ZeroAccess. Ciò che pochi, se non nessuno, menzionano è che la parte di mining Bitcoin della botnet T è stata funzionale per quasi sei mesi, perché gli sviluppatori l'hanno deliberatamente eliminata. La domanda è: perché?

ZeroAccess è un malware che unisce un computer infetto a una vasta rete di macchine compromesse in modo simile. Possono quindi essere controllate da un amministratore centrale, comunemente chiamato "booster", che poi fa in modo che le macchine eseguano i suoi ordini.

La maggior parte delle botnet Seguici pratiche criminali prevedibili, utilizzando i computer delle vittime per inviare spam o semplicemente raccogliendo informazioni sensibili sulle macchine infette, in modo che i criminali informatici possano usarle per rubare denaro. Altre vengono utilizzate per la frode dei clic, in cui le macchine vengono fatte cliccare su link online redditizi.

ZeroAccess era diverso, perché includeva un modulo di mining Bitcoin . Il software utilizzava le CPU dei computer infetti per estrarre bitcoin, restituendo i profitti ai fratelli.

ZeroAccess T è una nuova botnet: Symantec l'ha vista per la prima volta nell'estate del 2011, secondo Vikram Thakur, un ricercatore di Symantec Security Response. La successiva revisione importante è emersa un anno dopo, con revisioni minori trovate nel frattempo.

Ma ad aprile di quest'anno è accaduto qualcosa di significativo, ha detto, proseguendo spiegando:

"ZeroAccess ha deprecato il modulo di mining Bitcoin nell'aprile 2013. La botnet ha sfruttato la potenza di hashing di tutti quei bot fino all'aprile 2013 e poi ha rilasciato un aggiornamento che ha di fatto rimosso il modulo di mining. Da allora, non è avvenuto alcun mining sulla rete ZeroAccess."

Perché mai dei fastidiosi hacker avrebbero dovuto distruggere un modulo software che consentiva a un sacco di macchine di sfornare allegramente bitcoin?

Molte persone tecnicamente astute leggendo questo salteranno alla conclusione ovvia, ovvero che il mining di CPU è inutile, data l'elevata difficoltà causata dal rapido aumento del tasso di hash sulla rete. Ciò a sua volta è causato da un'ondata di hardware di mining ASIC che sta spingendo le GPU fuori dai giochi, per non parlare delle CPU computazionalmente anemiche.

Sicurafa anche i calcoli, prendendo come esempio un computer di prova relativamente vecchio. Ha utilizzato una macchina Dell OptiPlex GX620 Pentium D da 2 Gb, 3,4 GHz per vedere quanto bene il malware avrebbe potuto farlo minare. Ha utilizzato 136,25 Watt all'ora per minare a 1,5 Mh/sec. Mettilo accanto alle macchine cheKNC Miner ha appena iniziato la spedizioneed è come guardare unRobin affidabileaccanto a una Ducati.

Gregory Maxwell, ONE dei CORE sviluppatori del team Bitcoin, afferma che una CPU veloce fa circa 1MH/GHz, il che significa che una macchina quad CORE veloce da 3GHz potrebbe fare 12MH/s. Ma è probabile che le macchine più recenti siano tra quelle infette?

"Almeno in passato, la mia impressione è che le macchine botnet tendessero ad essere macchine più vecchie (con meno probabilità di avere patch aggiornate), quindi più simili a macchine a singolo CORE da 2 GHz, o 1,5 Mh/s", ha affermato.

Anche se le macchine più veloci sono infette, è improbabile che utilizzino tutta la loro potenza per il mining. Queste stime di hash rate presumono che i computer saranno completamente inattivi, tutto il tempo.

Quindi, in pratica, è T che la botnet abbia un effetto significativo sulla rete, sostiene Maxwell. 1,9 milioni di host da 1,5 MH/s equivalgono solo a circa 2,85 TH/s. La rete è già hashing a oltre 1 Petahash al secondo, il che significa che questa botnet è una sciocchezza.

Ma niente di tutto questo ha davvero importanza, grazie al vasto numero di utenti che T comprendono le basi della sicurezza informatica e vengono infettati regolarmente. Nel caso di ZeroAccess, erano 1,9 milioni.

Supponiamo – a beneficio dei criminali – che l’utilizzo parziale della CPU e l’infezione di macchine più potenti si annullino a vicenda e che l’hash rate medio per 1,9 milioni di macchine sulla rete fosse effettivamente di 1,5 Mh/sec. Il computer medio guadagnerebbe circa 41 centesimi all’anno, secondo Symantec. Ma 1,9 milioni di loro farebbero guadagnare migliaia di dollari al giorno ai criminali. Sono soldi facili. Perché disattivarli?

Thakur ha alcune idee. La prima è un flusso di lavoro di mining scadente. "Il server del pool di mining aveva un dominio statico, che avrebbe potuto essere rimosso dalle forze dell'ordine se qualcuno avesse segnalato le attività della botnet; forse il botmaster aveva paura di essere rintracciato a causa del fatto di avere un dominio statico come parte dell'infrastruttura del payload", ha affermato.

Tuttavia, c'è uno scenario più probabile nella sua mente, che è un caso basilare di economia. Anche se i fratelli stessero facendo soldi con l'estrazione mineraria illecita, potrebbero fare di più, in modo meno trasparente, rendendo la questione basilare di dove spendere al meglio la potenza di calcolo.

Thakur suggerisce:

"Il botmaster non ha guadagnato quasi per niente con il mining Bitcoin (si pensi al fattore difficoltà) rispetto alla frode sui clic.











Individuare le frodi all'interno delle reti pubblicitarie è molto difficile, il che rende più redditizio nascondere i profitti dietro una simile infrastruttura".

Si tratta di ipotesi fondate e finché qualcuno non acciufferà i due fratelli e li interrogherà, non lo sapremo mai con certezza.

La nostra supposizione è che si tratti di una combinazione dei due, e forse anche di una reazione impulsiva ai movimenti del mercato. I brontoloni hanno bloccato la funzione di mining Bitcoin ad aprile, quando l'interesse per Bitcoin ha raggiunto il massimo storico, e quando la valuta è crollata da $266 a $40. Forse hanno deciso che il valore della valuta T giustificava i cicli di CPU extra a quel punto.

Scommettiamo che il modulo di mining T verrà riattivato ora che la potenza di hashing della rete sta salendo alle stelle. Symantec ha anche appena messo fuori uso mezzo milione di macchine in una mossa tecnica ordinata nota come sinkholing. Le ragioni per reintrodurlo si stanno riducendo costantemente.

D'altra parte, non appenaLitecoin– la moneta predominante basata sulla rete Scrypt CPU-friendly – raggiunge la consapevolezza del grande pubblico e cattura l'attenzione del fastidioso, possiamo aspettarci di vedere le botnet trarne pieno vantaggio. Se ciò accadrà, ci vorranno un paio d'anni.