Z reguły nasze myślenie na temat koparek kryptowalut, względnie nowego rodzaju szkodliwego oprogramowania, kończy się na samym procesie kopania. To kwestia ewentualnych narzutów na zasoby systemowe z oczywistych powodów interesuje potencjalne ofiary najbardziej. Rzadziej zastanawiamy się, jak ten proceder przebiega po drugiej stronie lustra i z działalnością na jaką skalę mamy do czynienia.
Dekada badań nad koparkami kryptowalut
Coraz rzadziej na stronach internetowych skrypty działają w sposób maksymalistyczny – z reguły atakującym bardziej zależy na tym, by pozostać niewykrytym i móc pasożytować na maszynie jak najdłużej. Szczególnie dobrze widoczne jest to na przykładzie koparek kierowanych na urządzenia mobilne. Zdarza się, że posługują się one między innymi żyroskopem i akcelerometrem, by stwierdzać, kiedy urządzenie nie jest używane i wówczas wydobywać na nim kryptowaluty.
Skoro zatem koparki zaprojektowane są tak, aby kopać w sposób zwracający jak najmniej uwagi, to też nie wykopują zbyt wiele. W jaki sposób zatem za pomocą takich mikrokoparek cały proces wydobycia jest opłacalny? Działa tu oczywiście efekt skali – te same koparki zainstalowane są na wielu urządzeniach. Dotąd mogliśmy sobie wyłącznie wyobrażać, o jakich liczbach mowa. Właśnie się to zmieniło za sprawą ciekawego badania przeprowadzonego przez Sergio Pastranę z Uniwersytetu Karola III i Guillermo Suarez-Tangila z King’s College London.
Zobacz też: Komponent EventStream dla Node.js kradnie kryptowaluty. Pobrano go miliony razy
Wśród wydobywanych kryptowalut króluje Monero
Ich praca ma być pierwszym tak kompleksowym badaniem na temat zasięgu pojedynczej sieci koparek kryptowalut. Na warsztat wzięli oni jednak nie kopiące skrypty przeglądarkowe, a natywne oprogramowanie, które często pobierane jest i instalowane na komputerach ofiar za sprawą innych klas złośliwego oprogramowania. Duet badaczy skupił się na grupie koparek rozpoznających bezczynność na podstawie niewielkiego obciążenia CPU i od 2007 do 2018 roku przeanalizował około miliona odmian koparek.
Umyślne infekowanie maszyn pozwoliło im na śledzenie ruchu: udało się w ten sposób określić farmy, z którymi łączyły się koparki, podobnie jak adresy portfeli. Na podstawie aż 10 lat analizy udało się dokonać naprawdę wielu interesujących spostrzeżeń. Zaskoczenia nie ma w kwestii najpopularniejszej kryptowaluty wydobywanej wbrew woli użytkowników. Podobnie jak wśród skryptów przeglądarkowych, wśród natywnych koparek także króluje Monero. Autorzy badań szacują, że co najmniej 4,32% całego Monero w obiegu zostało wydobytych bez wiedzy właścicieli maszyn.
Zobacz też: Jak poznać, że na twoim komputerze działa koparka kryptowalut?
Urobek wart 56 mln dolarów
Bodaj najciekawszym wniosek z badań jest szacunkowa kwota, jaką wydobyto dzięki koparkom w ciągu ostatnich 10 lat. Według badaczy należy ją oszacować na około 56 mln dolarów. Co ciekawe, koparki łączyły się z relatywnie niewielką ilością farm – w pracy wyszczególniono ich zaledwie 12, z czego niemal 47 mln dolarów trafiło na największą, crypto-pool. Kolejnym świadectwem niewielkiej ilości graczy może być najefektywniejsza z analizowanych kampania wydobywania Monero – równowartość 18 mln dolarów wydobywana przez 4 lata zasiliła tylko 7 portfeli.
Praca „A First Look at the Crypto-Mining MalwareEcosystem: A Decade of Unrestricted Wealth” dostępna jest na serwerach Uniwersytetu Cornella.
