211service.com
Ett kriminellt ekosystem för kryptogruvor som kostar flera miljoner dollar har upptäckts
Ms. Tech; Foto: Pixabay
Kryptovalutor har blivit magneter för olaglig verksamhet som stöld och bedrägeri. Men ett av mindre rapporterade brott är användningen av stulen processorkraft för att bryta valutor som Bitcoin och Monero. Intäkterna från denna stöld kan sedan bytas ut mot riktig valuta, vilket skördar enorma belöningar för illvilliga aktörer.
Hur omfattande är dessa olagliga gruvnätverk och hur mycket pengar tjänar de?
Idag får vi svar tack vare Sergio Pastranas arbete vid Charles III University of Madrid i Spanien och Guillermo Suarez-Tangil vid King’s College London. Dessa killar har analyserat dessa nätverk i detalj för första gången och säger att de genererar mycket rikare plock än någon hade föreställt sig.
Pastrana och Suarez-Tangil uppskattar att denna typ av brott har genererat mer än 50 miljoner dollar. Och de fortsätter med att avslöja hur cyberbrottslingarna utför sina brott. Så vitt vi vet presenterar den här artikeln den största systematiska studien av skadlig binärbaserad kryptomining, säger de.
Det finns i huvudsak två sätt att stjäla processorkraft. Den första är att skapa en webbsida som innehåller ett skript som kapar datorns CPU. Intet ont anande besökare på sajten finner plötsligt att deras CPU är överbelastad och deras fans spränger.
Självklart kan knepet stoppas genom att stänga sidan som är ansvarig. Cybersäkerhetsexperter har analyserat denna typ av aktivitet genom att räkna webbsidorna som innehåller den här typen av skadlig programvara och uppskatta hur många gånger de besöks och hur länge.
Den andra metoden är mycket svårare att undersöka. Det består av skadlig kod för kryptomining, ofta begravd i legitim kod, som användare intet ont anande installerar och kör på sina datorer.
Denna skadliga programvara är utformad för att vara svår att upptäcka. Vissa skadliga program stängs av när användaren öppnar aktivitetshanteraren, så bevisen på dess aktivitet är svåra att se. Andra typer slås bara på när CPU:n är inaktiv, under antagandet att användaren måste vara borta från enheten.
Pastrana och Suarez-Tangil fokuserar sin studie på denna andra typ av kryptominerande skadlig kod, även känd som binärbaserad skadlig kod. Och deras analys är avslöjande.
Först lite bakgrund. Utvinning av kryptovaluta är den process som krypterar ett register över transaktioner så att det inte kan ändras eller manipuleras senare. Denna kryptering måste vara tillräckligt stark för att göra posten nästan omöjlig att omarbeta.
Det kräver betydande processorkraft, vilket är en värdefull resurs. Så gruvarbetare belönas för sina ansträngningar med små mängder kryptovaluta. Det är därför processen kallas gruvdrift: eftersom den skapar ny valuta.
Gruvprocessen är så intensiv att gruvarbetare ofta går samman i pooler. På så sätt kombinerar de sin processorkraft och delar sedan ut belöningarna, som betalas in i kryptovaluta plånböcker.
Cryptomining malware gör allt detta med hjälp av processorkraften hos dess värddator. Det fungerar vanligtvis genom att ladda ner gruvprogram med öppen källkod som gör krypteringen, logga in i en gruvpool och sedan överföra eventuella belöningar till en plånbok.
Men det är just denna process som har gjort det möjligt för Pastrana och Suarez-Tangil att analysera aktiviteten hos dessa illvilliga gruvarbetare. Den skadliga koden innehåller detaljer om poolerna den ansluter till och plånböckerna som pengar betalas in till.
Forskarna extraherar helt enkelt denna information i stor skala. De samlade in 1 miljon exempel på crypto-mining malware som fungerade mellan 2007 och 2018. De analyserade sedan den inblandade koden och körde skadlig programvara i en skyddad sandlådemiljö för att se vad den gjorde.
Det avslöjade de pooler som oftast är involverade i olaglig kryptomining. Det avslöjade också plånböckerna, så att forskarna kunde se hur mycket kryptovaluta var och en hade fått. Vi analyserar sedan allmänt tillgängliga betalningar som skickas till plånböckerna från gruvpooler som en belöning för gruvdrift, och uppskattar vinsterna för de olika kampanjerna, säger de.
Resultaten av denna analys gör det intressant att läsa. Forskarna finner att Monero är den överlägset mest populära kryptovalutan för kriminella och att omfattningen av deras verksamhet är häpnadsväckande. Pastrana och Suarez-Tangi säger att mer än 4,3 % av all Monero-kryptovaluta i omlopp är resultatet av kriminell aktivitet.
Och det är en lönsam verksamhet. Valutakurserna för kryptovalutor har varierat enormt över tiden. Eftersom det inte finns något sätt att veta när brottslingar omvandlade sina vinster, har Pastrana och Suarez-Tangi varit tvungna att uppskatta dem. Men även med försiktiga uppskattningar är intäkterna stora.
Vår vinstanalys avslöjar kampanjer med mångmiljonintäkter, säger de. Faktum är att det totala beloppet som utvinns på detta sätt är cirka 56 miljoner dollar under de senaste 10 åren. Och det mesta av detta verkar ha vunnits av ett relativt litet antal skådespelare. En av huvudorsakerna till framgången för denna kriminella verksamhet är dess relativt låga kostnad och höga avkastning på investeringar, säger forskarna.
Att stoppa denna olagliga aktivitet är inte heller lätt. Under sin forskning rapporterade Pastrana och Suarez-Tangi olagliga plånböcker till de största gruvpoolerna i hopp om att de skulle förbjudas. Men de stötte på två problem. För det första vägrade vissa icke-samarbetsvilliga pooler att förbjuda plånböcker kopplade till skadlig kod för kryptomining. För det andra använde vissa framgångsrika kampanjer för olaglig kryptomining flera pooler samtidigt, vilket gjorde dem mer motståndskraftiga mot nedtagningsoperationer.
En motåtgärd verkar dock fungera bra. Då och då gör kryptovalutamyndigheter ändringar i de algoritmer som används för att bryta valutan. När detta händer måste gruvprogramvaran uppdateras.
Det är inte ett problem för legitima gruvarbetare. Men olagliga gruvarbetare måste hitta ett sätt att uppdatera den skadliga programvara de har distribuerat runt på nätet. Det är inte en så lätt uppgift.
Monero ändrade sina algoritmer två gånger under 2018. I varje förändring upphörde cirka 73 % och 90 % av kampanjerna sin verksamhet, säger Pastrana och Suarez-Tangil.
Det är intressant arbete som lyfter locket på en enormt lönsam men till stor del orapporterad kriminell verksamhet. Det föreslår också ett effektivt sätt att slå ner på det genom att regelbundet uppdatera gruvalgoritmer. Det ska bli intressant att se hur kryptovalutagemenskapen reagerar.
Ref: arxiv.org/abs/1901.00846 : En första titt på ekosystemet för skadlig programvara för kryptomining: Ett decennium av obegränsad rikedom