Чтобы разобраться, что такое скрытый майнинг, необходимо понять, в чем заключается майнинг в принципе. С этого и начнем.
Майнинг — это процесс, который используется для генерации новых монет криптовалюты и проверки совершаемых транзакций. Выполняется благодаря работе децентрализованных сетей компьютеров, расположенных в разных географических точках по всему миру. Цель работы компьютеров заключается в проверке виртуальных реестров, которые используются для записи всех проведенных транзакций. Такие реестры называются блокчейнами.
В качестве награды за предоставляемую вычислительную мощность владельцы компьютеров получают новые монеты. Таким образом создается круговая зависимость: майнеры защищают и поддерживают блокчейн, блокчейн стимулирует майнеров продолжать работу выдачей монет, которые можно конвертировать в реальные деньги или использовать для оплаты товаров и услуг.
Стоит отметить: все действия производятся легально и с добровольного согласия владельцев вычислительных мощностей.
Скрытый майнинг или, как его часто называют, криптоджекинг, относится к нелегальному использованию вычислительной мощности устройств третьих лиц, поэтому является киберпреступлением. Хакеры внедряются в компьютеры пользователей и добывают криптовалюту без необходимости инвестиций в оборудование, электроэнергию и другие ресурсы, необходимые для организации сети майнинга.
Для реализации криптоджекинга злоумышленники разрабатывают вредоносное программное обеспечение, которое во многих случаях остается незаметным для пользователя. Распространение такого ПО осуществляется с использованием стандартных методов фишинга. Кроме того, вредоносный код может быть встроен в веб-сайты, при переходе на которые в браузере жертвы запускается скрипт, несанкционированно использующий ресурсы компьютера.
Целью криптоджекеров являются не только персональные компьютеры. Они могут быть развернуты и на других электронно-вычислительных устройствах, включая корпоративные серверы, мобильные гаджеты и облачную инфраструктуру. Заражению скрытыми майнерами могут быть подвержены как частные лица, бизнес-организации, так и правительственные учреждения, вне зависимости от страны и региона.
В отчете ENISA (Агентства Европейского Союза по кибербезопасности) говорится, что скрытый майнинг в 2021 году стал третьей по распространенности киберугрозой. В том же году группой специалистов по кибербезопасности компании Google было обнаружено, что 86% известных скомпрометированных облачных платформ стали жертвами криптоджекинга.
Принцип работы криптоджекинга в общем смысле не отличается от легального майнинга. Основная разница заключается в несанкционированном использовании вычислительных ресурсов третьих лиц. Единственной целью злоумышленников является получение финансовой выгоды за счет генерации новых монет криптовалюты блокчейном.
Транзакции блокчейна порождают сложные математические головоломки, которые необходимо решить, прежде чем транзакция будет аутентифицирована и завершена. Майнеры криптовалюты — это люди, которые с использованием компьютеров большой вычислительной мощности решают зашифрованные головоломки, подтверждают транзакции и зарабатывают монеты криптовалюты за свои усилия. Процесс криптомайнинга — единственный способ создать и зашифровать новые монеты в блокчейне.
Вредоносное ПО для скрытого майнинга тайно использует вычислительную мощность зараженного устройства для выполнения сложных математических операций, необходимых для генерации новых монет, и отправляет полученные результаты на подконтрольный злоумышленнику удаленный сервер. В отличие от других типов вредоносных программ, которые создаются с целью повреждения сетей и устройств, ПО для криптоджекинга разрабатывается таким образом, чтобы длительный период оставаться незамеченным, используя ресурсы жертвы и принося злоумышленнику незаконную финансовую прибыль.
Для скрытия своих действий на устройстве пользователя криптоджекеры используют небольшое количество вычислительных ресурсов. Если компьютер или другое оборудование обладают достаточной мощностью, то конечный пользователь не замечает работу вредоносной программы по незаконной добыче криптовалюты. Остаться незамеченным и получить какую-либо по значимости финансовую выгоду от использования одного зараженного устройства хакер не может. Поэтому ПО для криптоджекинга нацелено на большое количество жертв.
Различают два основных вида криптоджекинга, кардинально отличающихся между собой в подходе и реализации: заражение браузера и заражение хоста.
Скрытый майнинг в Казахстане может быть осуществлен с использованием браузеров. Данный подход также известен под названием Drive-by. Он предполагает разработку вредоносного скрипта, который встраивается на страницы веб-сайтов. После перехода пользователя на зараженную страницу вредоносный код автоматически запускается, используя ресурсы жертвы.
Злоумышленнику не обязательно создавать собственный зараженный веб-сайт. Существуют способы скомпрометировать существующие официальные онлайн-ресурсы при помощи программной рекламы, в которой содержится вредоносное программное обеспечение, автоматически размещающее рекламные объявления на веб-страницах. В большинстве случаев внедрение программной рекламы осуществляется без ведома и контроля со стороны владельцев ресурсов.
Вредоносная реклама может размещаться на сайте в виде всплывающих окон, которые маскируются под открытые окна операционной системы, вводя, тем самым, жертву в заблуждение. При нажатии на поддельное системное окно пользователь попадает на веб-сайт со встроенным скриптом скрытого майнинга. Для показа рекламы всем посетителям и обхода блокировщиков рекламы данный тип вредоносного ПО использует алгоритм генерации доменов.
В редких случаях на страницах веб-сайтов сообщается, что устройства посетителей используются во время нахождения на ресурсе для запуска программного обеспечения с целью майнинга. Однако этот метод используется для благих целей, в том числе как финансовая благодарность владельцу сайта и краудфандинг для оказания помощи при стихийных бедствиях. В этих случаях код криптомайнинга не сохраняется на устройствах жертвы, а запускается только в том случае, если пользователь посещает соответствующий онлайн-ресурс.
Заражение данным типом вредоносного ПО для скрытого майнинга осуществляется с использованием системных уязвимостей во время полноценной кибератаки и стратегий фишинга. Как правило, злоумышленники используют социальную инженерию, чтобы заручиться доверием потенциальной жертвы. Пользователь переходит по безобидным, на первый взгляд, ссылкам, после чего на устройство жертвы устанавливается ПО для криптоджекинга. Скрытый майнинг на основе хоста может быть реализован на большинстве типов электронно-вычислительных устройств. Например, смартфоны с установленной операционной системой Android подвержены атакам троянов с использованием криптоджекера через приложения в Google Play Store.
Вредоносные программы для скрытого майнинга также могут заражать открытые исходные коды приложений и общедоступные программные интерфейсы. Таким образом киберпреступникам удается проникнуть на устройства, загрузившие зараженные API или код. Кроме того, зараженным оказывается и программное обеспечение, созданное на основе исходников с заранее встроенным кодом для криптоджекинга.
Оказавшись на целевом устройстве, программа для криптоджекинга может перемещаться по всем узлам сети, включая серверы, цепочки поставок программного обеспечения и облачные инфраструктуры. Многие скрипты криптоджекинга также обладают возможностями червя. Они способны обнаружить в операционной системе жертвы другие работающие версии вредоносного кода криптоджекинга, деактивировать и подменять его.
Как упоминалось ранее, злоумышленники предпринимают максимум усилий, чтобы сделать криптоджекинг незаметным для конечного пользователя. Однако существует несколько способов, как вычислить скрытый майнинг:
Снижение производительности. Один из очевидных симптомов скрытого майнинга, характерный для устройств со сравнительно небольшой вычислительной мощностью. При заражении вредоносным ПО работа компьютера замедляется, так как ресурсы используются для скрытых математических вычислений. В некоторых случаях, по причине перегрузок, возможны зависания операционной системы или выключение устройства.
Перегрев. Внезапно возросший шум аппаратных кулеров ноутбука и компьютера — один из признаков криптоджекинга. Во время интенсивной работы процессор выделяет больше тепла, чем при стандартном функционировании, что заставляет ЦП охлаждаться активнее. В других гаджетах, например смартфонах, может быть заметен перегрев аккумуляторной батареи, так как процессор находится под ней. Длительное повышение температуры влечет за собой сокращение срока службы комплектующих.
Увеличение затрат на электроэнергию. Уровень потребляемой электрической энергии напрямую зависит от мощности устройства. Увеличение суммы счетов за электричество может свидетельствовать о нестандартном повышении мощности компьютера и, соответственно, о наличии криптоджекера в системе.
Всплески активности процессора. Всплески мощности процессора, которые можно увидеть в диспетчере задач Windows, при посещении веб-ресурсов с небольшим количеством мультимедийного контента, могут быть причиной выполнения вредоносного кода. Однако ПО для скрытого майнинга может быть написано и так, чтобы скрываться под законными процессами, и его будет трудно обнаружить с помощью этого метода.
Многие пользователи вводят в службах интернет-поиска запрос «анти скрытый майнинг», с целью получить универсальное решение. Криптоджекинг обладает многими сходствами с другими типами кибератак. В связи с этим методы его предотвращения практически не отличаются от способов борьбы с другими видами киберугроз, среди которых:
блокировка подозрительных сайтов. Обнаружить такие онлайн-ресурсы помогут программные средства, включая антивирусное программное обеспечение, обеспечивающее мониторинг сетевого подключения в режиме реального времени;
использование технологии SCA. Анализ композиции программного обеспечения поможет определить, какой открытый исходный код используется в конкретном приложении;
установка блокировщиков рекламы. Современные блокировщики рекламы устанавливаются в качестве расширений в браузерах и позволяют не только сделать интернет-серфинг более удобным, но и удаляют рекламные баннеры на веб-страницах, которые потенциально могут ссылаться на зараженные онлайн-ресурсы;
блокировка выполнения скриптов. Отключение JavaScript в браузере, возможно, повлечет за собой некоторые проблемы, связанные с воспроизведением динамического контента, однако это гарантирует невозможность выполнения вредоносного кода, который может быть встроен в код веб-страницы;
использование специальных расширений браузера. Существуют специальные браузерные расширения, разработанные для защиты от скрытого майнинга. Примерами такого ПО являются No Coin, minerBlock;
безопасные серверы и облачные конфигурации. Публичные серверы и открытые облачные сервисы уязвимы для криптоджекеров и поэтому должны быть идентифицированы и защищены. Если нет возможности обеспечить должный уровень безопасности, рекомендуется отказаться от их использования;
применение надежных инструментов защиты от киберугроз. Инженеры кибербезопасности должны использовать современные программные и аппаратные средства для обеспечения многоуровневой защиты от кибератак, включая антивирусное ПО, аппаратные и программные межсетевые экраны. Им также следует обеспечить внедрение в организациях новых версий операционных систем, прошивок сетевого оборудования, веб-браузеров и обновлений программного обеспечения.
Специалисты Агентства Европейского Союза по кибербезопасности отмечают, что количество атак криподжекинга за 2021 год достигло рекордного уровня. Жертвами кибератак стали в том числе:
официальные веб-сайты правительства Соединенного Королевства;
сайт Министерства обороны США;
страница Los Angeles Times с опубликованным отчетом об убийствах;
бесплатные приложения в магазине Microsoft.
Многие из перечисленных атак были основаны на браузере и были ориентированы на майнинг монеты Monero, которая пользуется наибольшей популярностью среди скрытых майнеров. Однако представители ENISA сообщили, что криптоджекеры отходят от использования браузеров, отдавая предпочтение атакам на хостах, на которые в 2021 году приходилось 87% всех обнаруженных случаев скрытого майнинга. Частично это связано с закрытием веб-сайта Coinhive, который предоставил браузерные сценарии криптоджекинга для майнинга Monero.
