Почему ботнет ZeroAccess остановил майнинг Bitcoin

На этой неделе было несколько отчетов, в которых подробно описывалось, как фирма по безопасности Symantec уничтожила большую часть ботнета для майнинга Bitcoin под названием ZeroAccess. Лишь немногие, если вообще кто-то, упоминают, что часть ботнета, занимающаяся майнингом Bitcoin , T функционировала почти шесть месяцев, поскольку разработчики намеренно ее уничтожили. Вопрос в том, почему?

ZeroAccess — это вредоносное ПО, которое подключает зараженный компьютер к большой сети аналогично скомпрометированных машин. Затем их может контролировать центральный администратор, обычно называемый беспокоящим, который затем заставляет машины выполнять его приказы.

Большинство ботнетов Социальные сети предсказуемым преступным практикам, используя компьютеры жертв для рассылки спама или просто собирая конфиденциальную информацию на зараженных машинах, чтобы киберпреступники могли использовать их для кражи денег. Другие используются для клик-фрод, когда машины заставляют нажимать на прибыльные онлайн-ссылки.

ZeroAccess отличался тем, что включал в себя модуль майнинга Bitcoin . Программное обеспечение использовало процессоры зараженных компьютеров для майнить биткойны, возвращая прибыль нарушителям.

ZeroAccess — это T новый ботнет — Symantec впервые увидела его летом 2011 года, согласно Викраму Такуру, исследователю Symantec Security Response. Следующая крупная ревизия появилась год спустя, а между ними были найдены и более мелкие ревизии.

Но в апреле этого года произошло нечто важное, сказал он, продолжив пояснения:

«ZeroAccess прекратил поддержку модуля майнинга Bitcoin еще в апреле 2013 года. Ботнет использовал вычислительную мощность всех этих ботов до апреля 2013 года, а затем выпустил обновление, которое фактически удалило модуль майнинга. С тех пор майнинг в сети ZeroAccess не производился».

Зачем нарушителям порядка убивать программный модуль, который заставлял множество машин с радостью штамповать биткоины?

Многие технически проницательные люди, читая это, придут к очевидному выводу, что майнинг на CPU бессмыслен, учитывая высокую сложность, вызванную быстро растущим хэшрейтом в сети. Это, в свою очередь, вызвано потоком оборудования для майнинга ASIC, которое вытесняет GPU со сцены, не говоря уже о вычислительно анемичных CPU.

Symantecдаже делает математику, взяв в качестве примера относительно старый тестовый компьютер. Он использовал машину Dell OptiPlex GX620 Pentium D 2 Гб, 3,4 ГГц, чтобы увидеть, насколько хорошо вредоносная программа может заставить его майнить. Он использовал 136,25 Вт в час для майнинга со скоростью 1,5 Мх/сек. Поставьте это рядом с машинами, которыеKNC Miner только что начал поставлятьсяи это как смотретьУверенный Робинрядом с Ducati.

Грегори Максвелл, ONE из CORE разработчиков Bitcoin, говорит, что быстрый процессор делает в районе 1MH/GHz, что означает, что быстрая CORE машина 3GHz может делать 12MH/s. Но есть ли вероятность, что новые машины попадут в число зараженных?

«По крайней мере, в прошлом у меня сложилось впечатление, что машины ботнетов, как правило, были старыми машинами (на которых, скорее всего, не было актуальных исправлений), поэтому они больше походили на одноядерные машины с CORE 2 ГГц или 1,5 Мх/с», — сказал он.

Даже если заражены более быстрые машины, они вряд ли будут использовать всю свою мощность для майнинга. Эти оценки хэшрейта предполагают, что компьютеры будут полностью простаивать все время.

Таким образом, на практике ботнет T ли окажет значительное влияние на сеть, утверждает Максвелл. 1,9 миллиона хостов 1,5 MH/s эквивалентны всего лишь около 2,85 TH/s. Сеть уже хеширование со скоростью более 1 петахеша в секунду, что означает, что этот ботнет — мелочь.

Но все это на самом деле не имеет значения, благодаря огромному количеству пользователей, которые T понимают основ ИТ-безопасности и регулярно заражаются. В случае ZeroAccess их было 1,9 миллиона.

Давайте предположим — ради выгоды преступников — что частичная загрузка ЦП и заражение более мощных машин компенсируют друг друга, и что средняя скорость хэширования для 1,9 миллиона машин в сети действительно составила 1,5 Мх/сек. По данным Symantec, средний компьютер зарабатывал бы около 41 цента в год. Но 1,9 миллиона из них приносили бы преступникам тысячи долларов в день. Это легкие деньги. Зачем его отключать?

У Такура есть несколько идей. Первая — плохой рабочий процесс майнинга. «У сервера майнингового пула был статический домен, который могли бы отключить правоохранительные органы, если бы кто-то сообщил о деятельности ботнета; возможно, ботмастер боялся, что его выследят из-за того, что статический домен был частью инфраструктуры полезной нагрузки», — сказал он.

Однако в его голове есть более вероятный сценарий, который является базовым случаем экономики. Даже если бы беспокоящиеся зарабатывали деньги на незаконной добыче, они могли бы зарабатывать больше денег, менее прозрачно, что делает базовым вопросом, где лучше всего потратить вычислительную мощность.

Такур предлагает:

«Ботмастер не заработал столько же денег на майнинге Bitcoin (учитывая фактор сложности), сколько на мошенничестве с кликами.











Отслеживать мошенничество в рекламных сетях очень сложно, поэтому скрывать прибыль за такой инфраструктурой становится еще выгоднее».

Все это обоснованные догадки, и пока кто-нибудь не поймает нарушителей порядка и не допросит их, мы никогда не узнаем наверняка.

Мы предполагаем, что это комбинация этих двух факторов, а также, возможно, инстинктивная реакция на рыночные движения. Беспокойные отменили функцию майнинга Bitcoin в апреле, когда Интерес к Bitcoin достиг исторического максимума, и когда валюта рухнула с $266 до $40. Возможно, они решили, что стоимость валюты T оправдывает дополнительных циклов ЦП в тот момент.

Мы ставим на то, что модуль майнинга T будет повторно активирован сейчас, когда мощность хеширования сети стремительно растет. Symantec также только что вывела из строя полмиллиона машин с помощью аккуратного технического шага, известного как sinkholing. Аргументов в пользу его повторного введения становится все меньше.

С другой стороны, как толькоLitecoin– преобладающая монета, основанная на сети Scrypt, дружелюбной к процессорам – достигает массовой осведомленности и привлекает внимание беспокоящих, мы можем ожидать, что ботнеты воспользуются всеми преимуществами. Если это произойдет, то это произойдет через пару лет.