也许其他论坛一样,Hack Forums论坛上的黑客会互相交流如何利用加密货币赚钱。
但他们不仅仅是低价买入高价卖出,而是想方设法暗中利用他人的手机和电脑挖出数字货币。
“任何人只要有几个被黑的网站控制面板,也许就能在网页上插入简单的JavaScript挖掘软件吧?”某位昵称Ungifted(无才之人)的用户问道。他在论坛上询问如何编写代码,在用户访问已“埋有”加密货币门罗币的网站时挖矿。
门罗币是继比特币之后最具野心的项目。在2014年4月门罗币依据CryptoNote被创建, 规避了比特币的设计缺陷, 使得门罗币更加隐私,去中心化, 可扩展。门罗币是目前唯一能隐藏交易发起者,接收者,交易金额,和交易IP的加密货币。在国外geek/黑客/暗网中声誉非常高。
而另一名会员昵称Broke Musician(破产音乐家),建议把挖矿程序嵌入第三方网站,或者通过社交媒体和垃圾电邮向网站发送含有挖矿代码的链接。
Hack Forums并不是最“顶尖”的网站犯罪分子集结地。大部分会员似乎相对而言欠缺经验,有些挖矿攻略他们可能根本没有尝试过。
但专家称,近期加密货币牛气冲天,就连见多识广的挖矿团队也加入了秘密挖矿的行列,有时是和数据窃取和阻断服务攻击等传统网络犯罪手法同步运行。最近不少新闻报道也指出,朝鲜政府黑客涉嫌劫持CPU挖掘加密货币。
“我们认为,这些家伙比一般的僵尸牧人(拥有并掌握僵尸网络的黑客)肯定要精明老练一些。”西雅图安全公司F5 Networks首席威胁研究员萨拉·博迪说道。
上个月,该公司举报了一个劫持计算机网络挖掘加密货币的“复杂多层攻击”案例。攻击者利用常见服务器软件的漏洞以及国家安全局泄露的Windows漏洞利用程序,渗透受害者的系统并在其网络内迁移。
上周,F5举报了另一款恶意软件,专门针对Linux系统,通过猜测身份验证凭据登录系统,然后运行门罗币挖矿脚本。
我们很难确切了解到,近期这类加密劫持攻击一共获益多少,但与这两个恶意软件变体相关联的三个地址似乎已收到价值68,500美元的门罗币。
这种加密货币面世仅三年,已经成为非法挖矿作业的首选工具。它的设计考虑到了隐私性和匿名性,在其公开账簿中刻意对交易方ID、甚至是交易金额进行模糊处理,因此我们很难在记录该货币交易的账簿或区块链上追踪这些不义之财。
上图显示了门罗币的价格上涨趋势(黄色曲线)和各类(基于文件和浏览器的)加密货币挖矿恶意软件的检测发现趋势(灰色阴影)。 [赛门铁克供图]
同样重要的是,门罗币所采用的算法允许普通电脑用户也能参与一般的挖矿过程,用户通过将交易记录到数字账簿中获取收益。而包括比特币在内的其他货币则只能使用专门的高端硬件挖掘。
门罗币目前市场价值达到63亿,除了被黑客所用,它其实也存在合法用途。
上月,门罗币核心开发者“毛茸小马”里卡尔多·斯巴尼宣布,门罗币可用于购买Weezer乐队和玛丽亚·凯莉等知名录音艺人的音乐和周边商品。
不少加密货币爱好者也看重其强调隐私性和大众化的挖掘方式。
但在过去这一年,门罗币挖矿恶意软件频繁出没于各式各样的网站,当用户连接被黑客入侵的星巴克无线网络,在线观看Showtime电视台或终极格斗锦标赛的节目或单纯浏览网页时,它们就开始兢兢业业地挖掘矿池。
与朝鲜政府存在关联的黑客甚至还被指控传播门罗币恶意软件,想必是为了给这个常年捉襟见肘的国家筹集资金。(一次针对某朝鲜服务器的攻击据传挖到了大约70个门罗币,价值27,000美元。)
有些浏览器扩展程序被曝在用户进行其他操作时暗中挖矿,有人还在Facebook Messenger上发送链接传播门罗币挖矿恶意软件。
上月,据移动安全公司Wandera称,从10月到11月,它所发现的连接恶意挖矿网站和应用程序的移动设备数量增加了287%。
嗨!@Starbucks @StarbucksAr,贵品牌的布宜诺斯艾利斯们店wifi供应商会在用户首次连接wifi时强行延迟10秒,目的是利用顾客的笔记本电脑挖比特币,你们知道吗?这不太像知名品牌所为吧?
—Noah Dinkin (@imnoah)
2017年12月2日
“你们还记得之前的物联网僵尸恶意软件Mirai吧,我们今年看到了它的一个变体,当时它正在路由器和硬盘录音机上挖掘门罗币。”赛门铁克公司首席威胁研究员坎迪德·伍伊斯特说道。该安全公司上月发布的一篇关于加密劫持的报告正是由他撰写的。
与此同时,挖矿恶意软件也在想方设法潜入许多网站共有的广告网络。广告技术公司Spotad发现了一个JavaScript脚本广告,专门用来诱骗用户点击弹窗,开始挖掘门罗币。
据Spotad称,负责该广告的广告公司对恶意代码并不知情。
谋财害“电”
据赛门铁克报告指出,每名用户在受感染网页上每停留一个小时,暗中挖门罗币的人可能也只挣到几美分。但只要有足够流量,小钱也能积累成大财。
对于没有戒心的计算机用户而言,电费成本的增加并不明显:据伍伊斯特估算,一年可能也就多个几美元。
“普通用户主要会发现,机子CPU的使用率达到了80%,甚至100%,大大拖慢了整个电脑的运行速度。”他说道。
而在手机端,恶意挖矿也会对CPU造成严重负担,导致电池损耗,设备使用寿命缩短,甚至可能造成物理损害。
据俄罗斯安全公司卡巴斯基实验室报告,近期他们检测到挖掘门罗币的移动恶意软件利用垃圾广告轰炸用户,甚至还能启动阻断服务攻击。
“我们从未见过这种‘万能型’的恶意软件。”研究员在一篇博文中写道。
[卡巴斯基实验室供图]
他们透露,经过两天的测试,一部受感染的机子出现了物理创伤:电池由于过度使用而鼓包膨胀,撑坏了手机外壳。
安全专家指出,和其他恶意软件一样,用户如果想规避这种寄生挖矿软件,就必须只安装来自可信任来源的应用程序,及时安装系统补丁,并运行反恶意软件工具,清除系统中的可疑代码。
至于网页版的挖矿系统,广告屏蔽软件也有助于过滤掉恶意进行加密货币数字运算的JavaScript代码。而硬件或软件防火墙也能阻断挖矿工具和命令服务器之间的连接。
赛门铁克的报告称,“这连接一断开,它就无法获取生成散列所需的数据,也就没什么用处了。”
合法用途
某些门罗币挖矿软件开发者认为,浏览器挖矿也可以有合法用途,当网站寻求广告以外的收入来源时,用户可在知情的前提下选择以计算机性能换取文章、视频或高级应用程序功能。
“我不赞成在对方不知情的情况下滥用任何人的电脑。”门罗币核心开发者斯巴尼说道。“但这项被滥用的技术也开辟了利用互联网服务赚钱的全新途径。”他认为,这有可能带来“免费”版的Netflix,或为新闻业提供新的资金流。
Coinhive是目前最具知名度的网页挖矿工具之一,其开发者在致《快公司》的邮件中称,这款软件最初只是德国论坛Pr0gramm的一个实验性功能。
该论坛用户喜欢用挖矿时间换取高级账号这个主意,于是开发人员把Coinhive设计成可用于其他网站的工具。
“举个例子,有几个色情网站使用了Coinhive,用户可选择禁用广告或获取高级账号。”他们写道。“色情广告一般干扰性很强,也不太赚钱,所以这对于用户和网站经营者都是颇受欢迎的替代选择。”
Coinhive甚至还提供了基于挖矿的验证码选择,旨在阻止恶意用户在网站上执行某种操作。其中一个软件版本AuthedMine要求用户在开始挖矿前明确选择加入。
“我们认为,最好不要在未经用户同意或未告知对方的情况下运行挖矿工具。” Coinhive开发人员写道。“再次强调,如果用户能够得到回报,他们会很乐意长期运行挖矿软件。所以,想出几个公开整合挖掘工具的好法子,对网站经营者而言绝对是有百利而无一害的。”
此举可能对开发者也是有利的。他们已请求防毒软件不要屏蔽AuthedMine,因为这款软件只有在用户明确允许的情况下才能运行。
相关阅读: 2018将是重大的区块链之年
其他挖矿工具的开发者也就用户许可问题发表了类似声明,但孰真孰假就无从定夺了。
还有一款名为Monero Silent Miner(沉默的门罗币挖掘机)的工具,售价14美元,专门在Windows电脑后台默默挖矿。
其网站称,它不会弹出用户可见的窗口,可阻止设备休眠,还能“避开防火墙”。
一个简单的Windows注册表设置就能确保电脑一重启挖掘机就开始干活,如果设置被删除了也不怕,它还能自动重新安装。
但在致《快公司》的邮件中,拒绝提供任何身份信息的开发者表示,它只针对“合法用户”开发。这就包括拥有多台电脑并希望利用它们“为电脑终端用户光明正大”挖掘门罗币的人。
开发人员称,该软件目前已售出700多份。
‐End‐
文 | Steven Melendez
图片 | fastcompany.cn
编辑 | 黄子君
,