Чужая добыча. Как компьютеры россиян начинают майнить на дядю и что с этим делать
Многие пользователи сталкивались с необъяснимым поведением собственных устройств, которые на ровном месте начинают сильно греться, жужжать вентилятором, тормозить и «жрать» оперативную память и интернет-трафик. Часто при этом грешат на саму технику, не связывая такое её поведение с увеличивающимися счетами за свет или с сайтами, которые посещаются чуть ли не ежедневно. Между тем большинство даже не догадывается, что стали жертвами криптоджекинга — скрытого майнинга, которым массово занимаются гаджеты и компьютеры по воле хакеров. Чтобы начать добывать биткоины, достаточно зайти на веб-страницу со встроенным вредоносным скриптом или поймать на устройство трояна. Вот только монеты при таком сценарии заберёт кто-то другой. Как работает криптоджекинг и как прекратить «майнить на дядю» — «Секрет» узнал у экспертов.
Как распознать криптоджекинг?
Криптоджекинг — относительно новый вид киберпреступлений, начавший набирать обороты с ростом популярности криптовалют. В отличие от других угроз, таких как программы-вымогатели, он полностью скрыт от жертвы, за счёт которой злоумышленник надеется получить прибыль.
Криптоджекинг позволяет хакерам быстро и эффективно добывать криптовалюту без дополнительных расходов на оборудование для майнинга и электроэнергию. Вместо этого они используют персональные компьютеры и другие устройства пользователей, которые были недостаточно аккуратны в интернете.
Криптоджекинг — это несанкционированный доступ к устройству пользователя для майнинга криптовалюты. Это может быть вредоносный файл, который доставляется на целевое устройство разными способами: через фишинговые рассылки, найденные уязвимости, заражённые флеш-накопители или вместе с инсталлятором взломанного программного обеспечения, например игр. Есть и второй тип — скрипты, внедрённые в рекламу на сайтах или сами сайты. Нередко программы для криптоджекинга имеют дополнительный функционал, который позволяет злоумышленникам украсть пароли или даже получить доступ к скомпрометированному устройству.
Большой риск установки вируса-майнера существует, когда пользователи скачивают файлы по прямым ссылкам с различных файловых обменников — с высокой долей вероятности это может оказаться вредоносный файл. Также существует высокий риск заражения устройств при скачивании с сайтов или торрент-площадок нелицензионных версий ПО. Также можно поймать вредонос в неофициальных магазинах приложений — злоумышленники могут замаскировать майнер под вполне безобидное приложение, например планнер или фитнес-трекер.
Дмитрий Кондратьев из «Лаборатории Касперского» уточнил, что майнеры также могут отличаться по используемым ресурсам (CPU/GPU). Кроме того, бывают и нетривиальные пути попадания этих программ на устройства.
Бывают случаи атак через взлом сервера или когда установку майнера на машины клиентов может осуществить компьютерный мастер.
При этом не всегда майнинговые скрипты можно квалифицировать как однозначно преступные. Некоторые владельцы сайтов в попытке монетизировать свой трафик встраивают на свои ресурсы специальный код JavaScript и запрашивают у посетителей разрешение на использование их ресурсов для майнинга криптовалют во время просмотра веб-страниц. Они позиционируют это как альтернативу интернет-рекламе: пользователи получают бесплатный контент, а владельцам капают деньги в виде криптовалют. Когда гости покидают сайт, майнинг заканчивается.
Это достаточно прозрачная схема, но сложность для рядового пользователя состоит в том, чтобы отличить такой честный сайт от взломанного или потенциально мошеннического, который не ограничит использование мощностей устройства временем посещения. Часто при этом веб-страницы, ответственные за код, прячутся в «прозрачных» или малозаметных всплывающих окнах, которые могут разместиться за панелью задач или замаскироваться под расширение браузера.
Некоторые владельцы сайтов делают уведомление, в котором просят пользователей о разрешении использования веб-майнера во время их сессии на сайте, вместо размещения рекламных баннеров. Однако не все бывают одинаково честными с посетителями сайтов. Вредоносный вариант веб-майнера продолжает свою работу, после того как пользователь покидает сайт, в виде скрытого всплывающего окна браузера. Определить, использует ли сайт встроенный майнер, можно, изучив код сайта на наличие скриптов, используемых майнерами, либо посмотреть сколько ресурсов потребляет та или иная вкладка в браузере.
Жертвами такой схемы могут стать не только персональные компьютеры, но и смартфоны, и планшеты, и даже устройства умного дома. Конечно, их вычислительной мощности недостаточно, чтобы в одиночку добывать крупные суммы в криптовалюте. Но если злоумышленникам удаётся заразить тысячи устройств, совместными усилиями они легко могут еженедельно приносить по несколько тысяч долларов.
По словам исследователя Group-IB Владимира Тимофеева, на форумах киберпреступников вредоносный майнер в среднем предлагают приобрести за $200–300. Сумма окупается достаточно быстро.
Одним из самых популярных криптоджекеров долгое время оставался JavaScript для добычи криптовалюты Monero под названием CoinHive. Его использовали и с вполне легальными целями, но чаще код незаметно встраивали на веб-страницы с преступными целями. Например, в начале 2018 года этот майнер обнаружили в рекламе YouTube, запущенной на платформе DoubleClick от Google. А в в июле и августе того же года заражёнными CoinHive оказались более 200 000 маршрутизаторов MikroTik в Бразилии с огромными объёмами веб-трафика.
CoinHive прекратил работу 8 марта 2019 года, однако угроза браузерного майнинга от этого меньше не стала. Например, в июле 2022 года стало известно, что криптоджекинговый код почти полтора года прятался на сайтах на популярном движке WordPress.
Случались и захваты с серьёзными последствиями. Когда атаке криптоджекинга подверглась европейская система управления водоснабжения, это сильно повлияло на способность операторов управлять критической инфраструктурой.
Чем опасен фоновый майнинг
Неважно, качает ли юзер программу-майнер вместе с другим ненадёжным файлом из подозрительного письма, цепляет ли вредоносный скрипт на веб-странице или ловит вирус-бэкдор, который делает его компьютер частью ботнета. Так или иначе, его оборудование начинает работать «на дядю» и добывать криптовалюты, которые затем отправляются на счета и серверы авторов вредоносного кода.
Результатом этого становятся возросшие счета за электричество и невидимый, но ускоренный износ оборудования, не предназначенного для постоянной работы на пределе вычислительных мощностей, отметил Дмитрий Кондратьев. Особенно от этого страдает бизнес, ведь вирус может легко заразить все компьютеры, объединённые общей сетью, а это и совсем другой порядок затрат на электроэнергию, и ресурсы IT-отдела (которому придётся искать и решать проблемы с производительностью устройств).
Майнерами также заражают корпоративные серверы, где износ оборудования и снижение быстродействия оказывают ещё большее влияние и также приводят к финансовым убыткам для компаний.
Некоторые скрипты для майнинга криптовалют способны не только распространяться по Сети и прятаться на множестве связанных устройств и серверов, но и конкурировать с другими программами за ресурсы. Если они обнаруживают, что компьютер или смартфон заражён другим криптомайнером, скрипт отключает его.
Иногда за криптоджекинг принимают другой вид кибермошенничества: воровство криптовалюты. По словам Владимира Тимофеева из Group-IB Threat Intelligence, предложений программного обеспечения для криптоджекинга на теневых форумах не так много по сравнению с более популярными у преступников стилерами. Это специализированные вредоносные программы, которые инфицируют компьютеры жертв и похищают браузерные cookie-файлы, логины и пароли. С помощью стилеров преступники не майнят, а крадут криптовалюту с чужих кошельков.
Как оценить ущерб и можно ли отстоять свои права
Несмотря на то что криптоджекинг — такое же киберпреступление, что и взлом систем, воровство данных и разработка вирусов, привлечь разработчиков этих скриптов к ответственности удаётся удручающе редко. Во-первых, потому что отследить крипту, которая добывается таким образом, сложное дело. Во-вторых, потому что адекватно оценить ущерб от скрытого майнинга попросту невозможно.
Случаев уголовного преследования за криптоджекинг по-прежнему очень мало, несмотря на то что Россия занимает одну из лидирующих позиций по обороту криптовалюты и преступлений с использованием криптовалют. Связано это в первую очередь с высоким уровнем латентности криптоджекинга. Типичные последствия криптоджекинга — повышение затрат на электроэнергию и замедление работы оборудования. Пользователь оборудования зачастую не связывает эти последствия с деятельностью хакеров и не осознает, что он стал жертвой криптоджекинга.
Также возникают сложности в получении компенсаций в суде, поскольку невозможно точно определить сумму причинённого ущерба. В денежном выражении очень сложно оценить последствия замедления работы оборудования, нарушения бизнес-процессов, репутационные последствия. Также затруднительно разграничить сумму дополнительных расходов на электроэнергию, вызванных незаконным майнингом.
Тем не менее, если авторов вредоносных скриптов удаётся вычислить и привлечь к ответственности, наказание им грозит вполне конкретное.
Представляется, что действия злоумышленников должны квалифицироваться по ч. 2 ст. 273 УК РФ как создание, распространение или использование вредоносных компьютерных программ, совершённое из корыстной заинтересованности. Санкция предусматривает наказание в виде лишения свободы на срок до 5 лет.
Юридически майнинг выражается в том, что собственник использует ресурсы своего компьютерного устройства с целью извлечь прибыль, при этом рискуя целостностью и исправностью ресурсов. Вирусы помогают мошенникам дистанционно получить возможность незаконного права пользования ресурсами устройства.
В законодательстве отсутствует должное регулирование, однако Минфин, ЦБ и некоторые госкорпорации подготавливают и уже предлагают законопроекты в этой сфере. Подобное можно квалифицировать по ст. 159.6 «Мошенничество в сфере компьютерной информации», по которой грозит штраф, либо обязательные работы, либо принудительные работы сроком до 2 лет, либо арест сроком до 4 месяцев.
Но пока применимость этих правовых механизмов остаётся скорее исключением, чем правилом. Даже когда в 2018 году удалось выйти на преступника, который заставил майнить биткоины серверы различных госучреждений целого ряда российских регионов, он отделался 2 годами условного срока, а ущерб по делу так и не смогли определить.
Как защититься от абордажа устройств?
Заподозрить неладное пользователь может по нетипичному поведению его устройств.
Если ваше устройство стало менее отзывчивым на команды, шумит, перегревается, потребляет больше энергии и быстрее разряжается, приложения работают не так быстро, а объёмы оперативной и долговременной памяти сокращаются по неизвестной вам причине — однозначно стоит проверить устройство на наличие вируса-майнера специальными программами.
Отследить, какая программа или процесс «ест» оперативную память, можно с помощью диспетчера задач. Однако для большинства пользователей бывает сложно на глаз определить, какой объём сетевого трафика и памяти ещё вписывается в норму, а какой должен вызвать сомнения.
Красными флагами могут стать графики использования ресурсов процессора и видеокарты: если их показатели достигают отметки в 60–100% в состоянии простоя, то стоит насторожиться. Также вирусы-майнеры создают дополнительные процессы в системе и записывают себя в папку автозапуска — это также следует проверить.
Антивирусы, средства защиты не всегда могут оградить от криптоджекинга — всё зависит от сложности вредоносного программного обеспечения. Иногда его функционал позволяет отключать средства защиты и распространяться по Сети.
Большинство антивирусов уже достаточно эффективно научились отслеживать и сбивать вирусы-майнеры на подлёте, однако масштабы проблемы от этого не уменьшаются. По данным Sonic Wall, в первой половине 2022 года было зафиксировано около 70 миллионов таких атак, рост составил порядка 35% к аналогичному периоду прошлого года. Всплеск активности вирусов-майнеров обычно сопровождает рост рынка криптовалют, но даже существенное падение цены активов не заставляет хакеров отказываться от лёгкого заработка: криптоджекинг позволяет добывать деньги почти из воздуха, не вкладывая в майнинг собственных средств.
Помимо надёжного антивируса с постоянно обновляемыми базами, имеет смысл поставить расширение браузера, предназначенное для блокировки криптоджекинга. Это позволит избежать сценария веб-майнинга, который не всегда распознаётся обычными средствами киберзащиты.
Помочь может даже обычный блокировщик рекламы, поскольку вредоносные скрипты часто доставляются именно через онлайн-рекламу. Наконец, можно отключить автоматическую загрузку JavaScript, но этот способ может также помешать использовать и полезные функции сайтов.
Коллаж: «Секрет фирмы», freepik.com, Unsplash / Shubham Dhage, Creedi Zhong