Por que o botnet ZeroAccess interrompeu a mineração de Bitcoin

Houve vários relatórios esta semana detalhando como a empresa de segurança Symantec derrubou uma grande parte de uma botnet de mineração de Bitcoin chamada ZeroAccess. O que poucos, se algum, mencionam é que a parte de mineração de Bitcoin da botnet T está funcional há quase seis meses, porque os desenvolvedores a mataram deliberadamente. A questão é: por quê?

ZeroAccess é um pedaço de malware que une um computador infectado a uma grande rede de máquinas comprometidas de forma semelhante. Elas podem então ser controladas por um administrador central, comumente chamado de incômodo, que então faz com que as máquinas obedeçam às suas ordens.

A maioria dos botnets Siga práticas criminosas previsíveis, usando os computadores das vítimas para enviar spam ou simplesmente coletando informações sensíveis nas máquinas infectadas, para que os cibercriminosos possam usá-las para roubar dinheiro. Outros são usados ​​para fraude de cliques, em que as máquinas são feitas para clicar em links on-line lucrativos.

O ZeroAccess era diferente, porque incluía um módulo de mineração de Bitcoin . O software usava CPUs de computadores infectados para minerar bitcoins, devolvendo os lucros aos incomodadores.

ZeroAccess T é um novo botnet - a Symantec o viu pela primeira vez no verão de 2011, de acordo com Vikram Thakur, um pesquisador da Symantec Security Response. A próxima grande revisão surgiu um ano depois, com pequenas revisões encontradas no meio.

Mas algo significativo aconteceu em abril deste ano, ele disse, continuando a explicar:

“A ZeroAccess descontinuou o módulo de mineração de Bitcoin em abril de 2013. A botnet aproveitou o poder de hash de todos esses bots até abril de 2013 e então lançou uma atualização que efetivamente removeu o módulo de mineração. Nenhuma mineração aconteceu na rede ZeroAccess desde então."

Por que os incomodadores matariam um módulo de software que estava fazendo com que muitas máquinas produzissem bitcoins alegremente?

Muitas pessoas tecnicamente astutas lendo isso chegarão à conclusão óbvia, que é que a mineração de CPU é inútil, dada a alta dificuldade causada pelo rápido aumento da taxa de hash na rede. Isso, por sua vez, está sendo causado por uma enxurrada de hardware de mineração ASIC que está tirando as GPUs do jogo, e muito menos as CPUs computacionalmente anêmicas.

Symantecaté faz as contas, tomando um computador de teste relativamente antigo como exemplo. Ele usou uma máquina Dell OptiPlex GX620 Pentium D de 2 Gb e 3,4 GHz para ver o quão bem o malware poderia fazer com que ele minerasse. Ele usou 136,25 Watts por hora para minerar a 1,5 Mh/seg. Coloque isso ao lado das máquinas queO KNC Miner acaba de começar a ser enviadoe é como assistir a umRobin Confianteao lado de uma Ducati.

Gregory Maxwell, um dos CORE desenvolvedores da equipe do Bitcoin, diz que uma CPU rápida faz na região de 1MH/GHz, o que significa que uma máquina rápida quad CORE de 3GHz pode fazer 12MH/s. Mas máquinas mais novas provavelmente estarão entre as infectadas?

“Pelo menos no passado, minha impressão era de que as máquinas de botnet tendiam a ser máquinas mais antigas (menos propensas a ter patches atuais), então mais como uma máquina de CORE único de 2 GHz — ou 1,5 MHz/s”, disse ele.

Mesmo que máquinas mais rápidas sejam infectadas, elas provavelmente não usarão todo o seu poder para mineração. Essas estimativas de taxa de hash assumem que os computadores ficarão totalmente ociosos, o tempo todo.

Então, na prática, o botnet provavelmente T terá um efeito significativo na rede, argumenta Maxwell. 1,9 milhões de hosts de 1,5 MH/s equivalem apenas a cerca de 2,85 TH/s. A rede já está hashing a mais de 1 Petahash por segundo, o que significa que essa botnet é uma coisa insignificante.

Mas nada disso realmente importa, graças ao vasto número de usuários que T entendem segurança básica de TI e são infectados regularmente. No caso da ZeroAccess, havia 1,9 milhões deles.

Vamos supor — para o benefício dos criminosos — que a utilização parcial da CPU e a infecção de máquinas mais potentes se cancelem, e que a taxa de hash média para as 1,9 milhões de máquinas na rede fosse de fato 1,5 Mh/seg. O computador médio ganharia cerca de 41 centavos por ano, de acordo com a Symantec. Mas 1,9 milhões deles renderiam milhares de dólares por dia para os criminosos. Isso é dinheiro fácil. Por que desligá-lo?

Thakur tem algumas ideias. A primeira é o fluxo de trabalho de mineração ruim. “O servidor do pool de mineração tinha um domínio estático, que poderia ter sido derrubado pela polícia se alguém relatasse as atividades da botnet; talvez o botmaster estivesse com medo de ser rastreado como resultado de ter um domínio estático como parte da infraestrutura de payload”, disse ele.

No entanto, há um cenário mais provável em sua mente, que é um caso básico de economia. Mesmo que os incomodadores estivessem ganhando dinheiro com mineração ilícita, eles poderiam estar ganhando mais dinheiro, de forma menos transparente, tornando uma questão básica onde gastar melhor o poder de computação.

Thakur sugere:

“O botmaster não ganhou nem de longe tanto dinheiro com a mineração de Bitcoin (pense no fator dificuldade) em comparação com a fraude de cliques.











Rastrear fraudes dentro das redes de publicidade é muito difícil, tornando mais lucrativo esconder lucros por trás de tal infraestrutura.”

Tudo isso são palpites fundamentados e, até que alguém pegue os importunadores e os interrogue, nunca saberemos com certeza.

Nosso palpite é que é uma combinação dos dois, e também possivelmente uma reação impulsiva aos movimentos do mercado. Os incomodadores anularam a função de mineração de Bitcoin em abril, quando o interesse em Bitcoin atingiu um recorde histórico, e quando a moeda caiu de US$ 266 para US$ 40. Talvez eles tenham decidido que o valor da moeda T justificava os ciclos extras de CPU naquele momento.

Estamos apostando que o módulo de mineração T será reativado agora que o poder de hashing da rede está disparando. A Symantec também acabou de colocar meio milhão de máquinas fora de ação em um movimento técnico bacana conhecido como sinkholing. O caso para reintroduzi-lo está diminuindo constantemente.

Por outro lado, assim queLitecoin– a moeda predominante baseada na rede Scrypt amigável à CPU – alcança a conscientização geral e captura a atenção do incômodo, podemos esperar ver botnets tirando total vantagem. Se isso acontecer, isso levará alguns anos.