Название говорит само за себя: WannaMine. Panda, бильбао, базирующаяся в Испании компания по кибербезопасности, в начале февраля писала, что «новый вариант вредоносного ПО захватывает компьютеры по всему миру, угоняя их для майнинга криптовалюты под названием Monero».
Вирус напоминает WannaCry, червя, охватившего весь мир в мае 2017 года, который шифрует данные зараженных систем и требует выплаты биткойн-выкупа для его расшифровки. Но WannaMine использует другой подход к извлечению криптовалюты из своих жертв: он использует вычислительную мощность своих машин для многократного запуска алгоритма CryptoNight, надеясь найти хеш, отвечающий определенным критериям, прежде чем это сделают другие майнеры. Когда это происходит, новый блок добывается, создавая кусок нового монеро - стоимостью около 1500 долларов на момент написания - и вкладывая непредвиденную сумму в кошелек атакующего.
Шансы на то, что любой данный майнер найдет следующий блок первым и получит вознаграждение, ничтожны, но заражают достаточно процессоров, и вы можете собрать приличный поток дохода. Поскольку жертва оплачивает счета за электричество и предоставляет оборудование, расходы для злоумышленника незначительны. (Смотрите также, как работает биткойн майнинг? )
«Подтверждение концепции»
11 февраля была обнаружена похожая, но более впечатляющая атака. Исследователи кибербезопасности Скотт Хелм и Иан Торнтон-Трамп (phat_hobbit) заметили, что сайты Национальной службы здравоохранения Великобритании и судов США угоняли браузеры посетителей в поисках монеро.
Хммм, так что да, это * плохо *. Я только что @phat_hobbit указал, что на сайте @ICOnews установлен криптоминер… pic.twitter.com/xQhspR7A2f
- Скотт Хельме (@Scott_Helme) 11 февраля 2018 г.
Виновником был плагин преобразования текста в речь, популярный у англоязычных правительств под названием Browsealoud, который был заражен Coinhive, моно-майнером в браузере, который не обязательно сам по себе является вредоносным: его провайдеры представляют его как законный способ монетизации трафика, но, по словам материнской платы, задавайте своим пользователям слишком мало вопросов.
Пока что, 2018. Но что-то не так. Злоумышленники ничего не заработали: около 24 долларов, которые даже не были выплачены, сказал Коинхив Материнской плате. И, как указал Хельме, атака могла быть намного хуже: «Злоумышленники произвели произвольную инъекцию сценариев на тысячи сайтов, включая многие сайты NHS здесь, в Англии». Они могли украсть грузы чрезвычайно ценных личных данных. Но они этого не сделали.
Более того, учитывая выбранные ими метод атаки, злоумышленники должны были выбраны более высокий трафик, менее тщательно, задачи с более низким уровнем безопасности: порносайты пользуются популярностью у cryptominers, потому что они соответствуют этим критериям.
Похоже, целью угонщиков было не зарабатывать деньги. Возможно, как выразился Мэтт Берджесс из Wired UK - перефразируя аналитика Malwarebytes Криса Бойда - они «вместо этого создавали концептуальное подтверждение».
Crypto разрушает рекламную модель?
Что это за концепция, Бойд не уточнил. «Давайте посмотрим, какие сумасшедшие вещи можно сделать с помощью этих сценариев», - предположил он, говоря словами хакеров.
Но у Лукаса Нуцци, старшего аналитика в Digital Asset Research, есть идея. «Основанные на браузере майнеры, такие как Coinhive, являются лучшей реализацией полезного PoW из существующих», - написал он в Твиттере. «Впервые в истории интернета на сайтах появился способ монетизации контента без необходимости обстреливать пользователей рекламой».
Потенциал не ограничивается рекламными моделями:
2 \ Эти майнеры могут быть реализованы с использованием менее 20 строк кода. Википедии не нужно было бы просить пожертвования, если бы они внедрили майнер на основе браузера.
- Лукас Нуцци (@LucasNuzzi) 15 февраля 2018 г.
Майнинг браузеров может нарушить существующие модели монетизации для поставщиков веб-контента. Интернет-реклама, которая раздражает, часто содержит вредоносный код и поддерживает брокерскую индустрию данных, которая ставит под угрозу конфиденциальность и безопасность пользователей, может быть отнесена к вспомогательной роли. Пожертвования, которые, судя по тенорам википедийских ходатайств, не сокращают их, также могут ослабнуть. (См. Также, Блокчейн может сделать вас - не Equifax - владельцем ваших данных. )
К сожалению, Nuzzi продолжает, хакеры бьют авторитетные сайты, что связывает майнинг браузеров с вредоносным ПО в воображении общественности и «разрушает надежду на принятие авторитетных сайтов, таких как Википедия».
Салон делает решающий шаг
Возможно, но, по крайней мере, один уважаемый, если борется, сайт сделал решающий шаг. Salon заключил партнерские отношения с Coinhive, и 11 февраля - в день разгрома Browsealoud - он начал спрашивать посетителей, использующих блокираторы рекламы, хотят ли они «блокировать рекламу, позволяя Salon использовать ваши неиспользуемые вычислительные мощности». Страница часто задаваемых вопросов объясняет, что это означает майнинг монеро, хотя и не упоминает своего ныне печально известного партнера по имени. (См. Также, Салон хочет использовать ваш компьютер для майнинга кирпотовалют. )
Чтобы оценить пользовательский опыт, я включил несколько блокировщиков рекламы, посетил салон и согласился «подавить рекламу». Это не сработало. Домашняя страница стала полупрозрачной и недоступной для клика, как это иногда случается, когда блокировщик рекламы скрывает обязательное всплывающее окно (наличие блокиратора рекламы является необходимой предпосылкой для включения в криптоминер). После некоторой путаницы - такой, которая заставила бы меня искать другие места в нормальных условиях - я стал добывать монеро в обмен на урезание либеральных комментариев.
Я не видел никакой рекламы, но, конечно, я запускал блокировщики рекламы. На странице постоянно перезагружаются определенные элементы, поэтому текст пропускается каждые несколько секунд. Было трудно читать. Немного подозрительно, счетчики моих блокировщиков рекламы тикали до 11 и 29, указывая на то, что запросы блокировались при каждой перезагрузке.
Я был несомненно майнингом. До посещения страницы монитор активности моего Macbook не показывал приложений, использующих более 10% процессорного времени. Во время моего визита Chrome Helper варьировался от 50% или около того - до одной точки - до 320%. Энергетическое воздействие Chrome также выросло до трехзначных цифр; 12-часовое среднее значение составляет 46.
Электронное письмо в PR-фирму Salon с просьбой об опыте торговой точки по майнингу браузеров не получило немедленного ответа. Эта статья будет обновлена, чтобы отразить ответы Салона.
Может ли работать браузер майнинг?
Мое короткое знакомство с майнингом браузеров выявило икоты, типичные для бета-версий. Но энергопотребление является препятствием, которое незначительные улучшения не решат. Биткойн-майнеры стекаются в Квебек, потому что электричество дешевое. Угонщики занимаются майнингом, используя браузеры посетителей по той же причине. Несмотря на то, что сложно оценить монетарное влияние майнинга от имени Салона, увеличение потребления электроэнергии было очевидным. Если бы значительная часть Интернета приняла майнинг браузеров, использование Интернета могло бы дорого обойтись.
То же самое касается использования оборудования. WannaMine представляет такую проблему, потому что, как выразился Panda, «то, как он пытается максимально использовать процессор и оперативную память, создает большую нагрузку на компьютер». Если сайты не ограничивают требования, предъявляемые к компьютерам посетителей, процессы замедляются до скорости сканирования, а оборудование изнашивается значительно быстрее.
Nuzzi не сбрасывает со счетов эти проблемы. «Если майнинг на основе браузера станет чем-то особенным, определенно произойдет злоупотребление, когда речь заходит о количестве потоков майнинга, которые использует веб-сайт», - сказал он по электронной почте. С другой стороны, «как и у рекламы, будут способы блокирования этого сценария, поэтому веб-сайты должны выяснить, каким должен быть справедливый баланс, иначе пользователи перестанут посещать веб-сайт или заблокируют майнера».
Что касается использования электричества, хеш-функция Monero CryptoNight имеет более легкое касание, чем, скажем, биткойн SHA-256. Моно майнинг "не является большой проблемой для пользователей ноутбуков", говорит Нуцци, но "он наверняка ограничивает некоторые варианты использования для смартфонов" с их более ограниченной емкостью батареи.
Кроме того, существует риск того, что гонка вооружений по скорости хэширования, из-за которой CPU и даже GPU-майнинг биткойнов и litecoin станут невыгодными, остановит толчок майнинга в браузере. Причина, по которой Coinhive и WannaMine используют monero, заключается в том, что это одна из единственных криптовалют, которые можно выгодно добывать с помощью процессора. Учитывая правильные экономические стимулы, не может ли Monero стать жертвой ASIC, специализированного оборудования, предназначенного исключительно для максимально быстрого выполнения хэш-функций?
Нуцци так не считает. Он называет CryptoNight «блестяще разработанным», добавляя, что он «позволяет добывать Monero с использованием различных устройств, включая смартфоны, поскольку у большинства из них по крайней мере 2 ГБ ОЗУ, в то время как для запуска экземпляра CryptoNight требуется всего 2 МБ. для Scrypt (алгоритм консенсуса Litecoin), CryptoNight гораздо более устойчив к интеграции схем, что позволяет создавать ASIC ».
Разработчики Monero также пообещали изменить алгоритм в случае разработки ASIC. «Такие производители, как Bitmain, никогда не выделяли бы бюджет на НИОКР для разработки Monero ASIC с учетом этого риска», - говорит Нуцци. (Смотрите также, Биткойн против Litecoin: в чем разница? )
Давно пора
Если криптомайнинг смещает рекламу как основной способ монетизации онлайн-контента, это будет выполнением одного из самых ранних обещаний криптовалюты.
Аргумент о том, что микроплатежи в биткойнах на сайтах могут нарушить текущую модель, стал жертвой роста комиссионных за транзакции, но были предприняты и другие попытки с использованием других токенов, таких как токен Basic Attention, блокирующий рекламу в браузере Brave. Но пока финансирование кошелька и компенсационных сайтов, чью рекламу вы блокируете, остается необязательным - как это делается в Brave - модель вряд ли обеспечит сайты нужным доходом. (Следует сказать, что храбрый разработчик предлагает место для рекламодателей на своей платформе.)
Нет никаких гарантий, что браузерный майнинг получит популярность, или что влияние на оборудование пользователей и счета за электроэнергию не станет нарушителем. Однако есть вероятность, что надоедливые, навязчивые, иногда вредные рекламные объявления - или программы, которые вы используете для их блокировки - находятся на выходе.
