Исследователи изучили более 2000 вредоносных программ, которые использовались операциями по добыче биткойнов в 2012 и 2013 годах. Они смогли оценить, сколько денег операторы заработали на своих операциях и какие страны пострадали больше всего.
Ученые-информатики сообщают, что доход от 10 изучаемых ими операций по добыче полезных ископаемых за два года достиг не менее 4500 биткойнов. Это может показаться не таким уж большим, но стоимость Биткойна за это время выросла с 10 до 1000 долларов, достигнув пика в 1100 долларов в ноябре 2013 года. Один биткойн в настоящее время стоит около 618 долларов.Майнинг биткойнов особенно привлекателен для операторов вредоносных программ из-за его низкой стоимости и потому, что он практически не требует вложений в какую-либо инфраструктуру. «При нынешней стратосферной стоимости Биткойна майнеры, обладающие значительными вычислительными мощностями, буквально печатают деньги», — сказал Дэнни Хуанг, доктор философии. студент информатики и первый автор исследования.
Это может изменить правила игры для вредоносных программ, — пояснил Алекс Снерен, профессор информатики инженерной школы Джейкобса Калифорнийского университета в Сан-Диего и один из соавторов статьи. «Если это когда-нибудь станет очень прибыльным, это может оживить индустрию вредоносных программ», — сказал он.Исследование является частью более масштабных усилий компьютерных ученых из Калифорнийского университета в Сан-Диего, направленных на то, чтобы лучше понять, как операторы вредоносных программ зарабатывают деньги — от рассылки спама до кражи личной информации, такой как номера кредитных карт. «Эти транзакции показывают, как общество и технологии влияют друг на друга», — сказал Хуанг. Исследователи представят свой доклад «Боткойн: монетизация украденных циклов» на конференции Network Distributed System Security с 23 по 25 февраля в Сан-Диего. Для отслеживания транзакций исследователи использовали методы, разработанные их коллегой и соавтором, Сарой Мейкледжон, доктором философии. студент инженерной школы Джейкобса.
Исследование проводилось в партнерстве с Университетом Джорджа Мейсона, Калифорнийским университетом в Беркли и Международным институтом компьютерных наук.Следуя за деньгами
Большинство зараженных компьютеров находилось в Европе. Но вредоносное ПО можно было найти и в Азии, и в Латинской Америке.
Соединенные Штаты также не были застрахованы. Например, известная вредоносная программа ZeroAccess провела майнинг на как минимум 2600 компьютерах, которые она контролировала в этой стране. Всего ПК были инфицированы более чем в 60 странах, от Бразилии до Мексики, Вьетнама, Франции, Турции и Болгарии.Большинство основных игроков были известными операторами вредоносного ПО.
Они собрали от нескольких сотен до нескольких тысяч биткойнов за период, который исследователи опрашивали, с декабря 2011 года по ноябрь 2013 года.Большинство менеджеров ботнетов перемещали добытые ими биткойны на биржи, где их можно было конвертировать в доллары в течение нескольких дней, предполагая, что они планировали быстро обналичить свою прибыль. «Мы хотели знать, были ли это биткойн-энтузиасты, которые обратились к темной стороне», — сказал Кирилл Левченко, ученый-исследователь и один из ведущих авторов статьи. «Такое поведение предполагает, что это не так».Добыча биткойнов операторами вредоносных программ стала популярной в 2011 году и в прошлом году получила довольно широкое распространение. Сейчас это менее распространено из-за постоянно растущих вычислительных требований для майнинга биткойнов.
Факты свидетельствуют о том, что некоторые операции были перенесены на Litecoin, другую онлайн-валюту.В разгар биткойн-ажиотажа операторы бот-сетей с 10 000 ПК в своей сети могли зарабатывать около 100 долларов в день.
Но по мере роста популярности валюты вычислительные ресурсы, необходимые для ее добычи, росли в геометрической прогрессии. В результате сегодня 10 000 ПК-ботнетов будут приносить меньше 10 долларов в день.
Сноерен и его коллеги считают, что на данный момент операторы вредоносных программ не создают бот-сети исключительно для майнинга биткойнов. Но операторы ботнетов, вероятно, добавили майнинг в свой портфель вредоносных операций, таких как спам и атаки типа «отказ в обслуживании».
По словам Снорена, майнинг дополняет другие действия вредоносного ПО, такие как рассылка спама и мошенничество с кликами, и имеет низкие накладные расходы. «Это легкие деньги», — сказал он.Ботнеты и майнинг биткойнов: как это работает
Операторы вредоносных программ захватывают компьютеры, используя уязвимости в браузерах или подключаемых модулях браузера, таких как Java и Flash. Вредоносная программа заражает компьютеры серией программ, которые заставляют машины выполнять незаконные действия. Компьютеры соединены в сеть, известную как ботнет. Затем операторы могут комбинировать вычислительную мощность компьютеров для выполнения сложных вычислений, необходимых для добычи биткойнов.
«Майнинг биткойнов во многом похож на участие в лотерее», — объясняет Снерен. Это вычислительный эквивалент необходимости случайным образом выбрать шесть чисел и посмотреть, совпадают ли они с числом, которое принесет биткойны. Пользователь, занимающийся майнингом на отдельном ПК, вряд ли выиграет, точно так же, как тот, кто купит один лотерейный билет, вряд ли выиграет джекпот.
Лучший способ приобрести биткойн — присоединиться к майнинговому пулу, который делится своими доходами, так же, как коллеги объединяют свои ресурсы для покупки большого количества лотерейных билетов, разделяя любые потенциальные выигрыши.Чтобы найти незаконные операции по добыче биткойнов, исследователи обращались к публичным репозиториям поставщиков вредоносных программ. Они также связались с несколькими людьми, которые управляют пулами для майнинга биткойнов.
Ученые-информатики ожидали, что операторы вредоносных программ будут скрывать свою деятельность по добыче полезных ископаемых за прокси-серверами. Вместо этого они обнаружили, что операторы часто занимаются майнингом в открытых пулах и присоединяются к публичным майнинговым пулам.Майнинг в публичных пулах делает операторов вредоносных программ более заметными, если выделяются их большие вычислительные ресурсы. Но операторы пулов редко вызывают их, опасаясь репрессалий, в основном в виде атак типа «отказ в обслуживании».
Сноерен отметил, что правоохранительные органы будут менее колебаться.«Для Аль Капоне это могло быть эквивалентом уклонения от уплаты налогов», — сказал он.