Kas ir kas yra „Coinhive“? – Krebsas apie saugumą

Kelios apsaugos įmonės neseniai nustatė kriptovaliutų kasybos paslaugą Coinhive kaip didžiausia kenkėjiška grėsmė interneto vartotojams, dėl tendencijos, kad „Coinhive“ kompiuterio kodas buvo naudojamas įsilaužtose svetainėse, kad pavogtų lankytojų įrenginių apdorojimo galią. Šiame įraše apžvelgiama, kaip „Coinhive“ pateko į grėsmių sąrašo viršų praėjus mažiau nei metams po debiuto, ir nagrinėjami įkalčiai apie galimą asmenų, už paslaugą, tapatybę.

„Coinhive“ yra kriptovaliutų kasybos paslauga, kurios pagrindas yra mažas kompiuterio kodo gabalas, skirtas įdiegti svetainėse. Kodas naudoja bet kurią ar visą bet kurios naršyklės, apsilankančios atitinkamoje svetainėje, skaičiavimo galią, įtraukdamas mašiną į pasiūlymą išgauti „Monero“ kriptovaliutos bitus.

„Monero“ skiriasi nuo „Bitcoin“ tuo, kad jo sandoriai praktiškai nėra atsekami ir pašalinis asmuo niekaip negali stebėti „Monero“ sandorių tarp dviejų šalių. Natūralu, kad dėl šios savybės „Monero“ yra ypač patrauklus pasirinkimas kibernetiniams nusikaltėliams.

„Coinhive“ praėjusią vasarą išleido savo kasybos kodą, suteikdamas galimybę svetainių savininkams užsidirbti pajamų nevykdant įkyrių ar erzinančių skelbimų. Bet nuo to laiko „Coinhive“ kodas tapo didžiausia kenkėjiškų programų grėsme, kurią stebi kelios saugos įmonės. Taip yra todėl, kad didžiąją laiko dalį kodas yra įdiegiamas įsilaužtose svetainėse – be savininko žinios ar leidimo.

Panašiai kaip kenkėjiškos programos užkratas nuo kenksmingo roboto ar Trojos arklys, „Coinhive“ kodas dažnai užrakina vartotojo naršyklę ir išeikvoja įrenginio akumuliatorių, nes jis toliau kasa „Monero“ tol, kol lankytojas naršo svetainėje.

Remiantis publicwww.com, paslauga, indeksuojančia svetainių šaltinio kodą, šiuo metu yra beveik 32 000 svetainių, kuriose veikia „Coinhive“ „JavaScript“ kasybos kodas. Neįmanoma pasakyti, kiek tų svetainių sąmoningai įdiegė kodą, tačiau pastaraisiais mėnesiais įsilaužėliai slapta susiejo jį į kai kurias itin aukšto lygio svetaines, įskaitant tokių kompanijų svetaines kaip „The Los Angeles Times“, mobiliųjų įrenginių gamintojas. Gervuogė, „Politifact“ ir „Showtime“.

Ir jis pasirodo netikėtose vietose: gruodį „Coinhive“ kodas buvo rastas įterptas visuose tinklalapiuose, kuriuos aptarnauja „Wi-Fi“ viešosios interneto prieigos taškas „Starbucks“ mieste Buenos Airėse. Maždaug savaitę sausio mėnesį „Coinhive“ buvo paslėptas „YouTube“ reklamose (per „Google DoubleClick“ platformą) tam tikrose šalyse, įskaitant Japoniją, Prancūziją, Taivaną, Italiją ir Ispaniją. Vasario mėnesį „Coinhive“ buvo rastas „Browsealoud“ – „Texthelp“ teikiamoje paslaugoje, kuri garsiai skaito tinklalapius silpnaregiams. Paslauga plačiai naudojama daugelyje JK vyriausybės svetainių, be kelių JAV ir Kanados vyriausybių svetainių.

Ką iš viso to duoda „Coinhive“? „Coinhive“ saugo 30 procentų bet kokios „Monero“ kriptovaliutos sumos, kuri yra išgaunama naudojant jos kodą, neatsižvelgiant į tai, ar svetainė davė sutikimą ją valdyti. Kodas susietas su specialiu kriptografiniu raktu, kuris identifikuoja, kuri vartotojo paskyra turi gauti likusius 70 proc.

„Coinhive“ priima skundus dėl piktnaudžiavimo, tačiau paprastai atsisako atsakyti į bet kokius skundus, kurie nėra iš nulaužto tinklalapio savininko (dažniausiai nepaisoma trečiųjų šalių pateiktų skundų dėl piktnaudžiavimo). Be to, kai „Coinhive“ atsako į skundus dėl piktnaudžiavimo, tai daro negaliojančiu raktą, susietą su piktnaudžiavimu.

Bet pagal Troy Mursch, saugumo ekspertas, daug laiko praleidžiantis stebėdamas „Coinhive“ ir kitus „kriptografijos“ atvejus, rakto nužudymas nieko nedaro, kad „Coinhive“ kodas netrukdytų minuoti Monero įsibrovusioje svetainėje. Kai raktas bus pripažintas negaliojančiu, Murschas sakė: „Coinhive“ nuo to laiko laiko 100 procentų kriptovaliutos, kurią iškasa svetainės, susietos su ta sąskaita.

– pasakė Murschas Panašu, kad „Coinhive“ neturi jokių paskatų policijai išplėsti piktnaudžiavimą, kuris skatina jos platformą.

„Kai jie” nutraukia „raktą, jis tiesiog nutraukia tos platformos vartotoją, tai netrukdo paleisti kenksmingo” JavaScript „ir tai tiesiog reiškia, kad konkretus” Coinhive „vartotojas nebegauna atlyginimo”, – sakė Murschas. „Kodas nuolat veikia, o„ Coinhive “jį gauna. Gal jie nieko negali padaryti, o gal nenori. Bet kol kodas vis dar yra nulaužtoje svetainėje, jis vis tiek uždirba pinigus “.

Pasiekęs komentaro apie šį akivaizdų interesų konfliktą, „Coinhive“ atsakė labai techniškai, teigdamas, kad organizacija dirba taisydama šį konfliktą.

„Mes sukūrėme” Coinhive „laikydamiesi prielaidos, kad svetainės raktai yra nekintami”, – rašė „Coinhive” elektroniniame laiške „KrebsOnSecurity”. „Tai akivaizdu tuo, kad vartotojas negali ištrinti svetainės rakto. Ši prielaida labai supaprastino mūsų pradinį vystymąsi. Vietos raktus galime išsaugoti „WebSocket“ serveriuose, užuot perkėlę juos iš kiekvieno naujo kliento duomenų bazės. Mes dirbame dėl mechanizmo [to] propaguoti rakto pripažinimą negaliojančiu mūsų „WebSocket“ serveriuose. “

AUTHEDMINE

„Coinhive“ atsakė į tokią kritiką išleisdama savo kodo versiją, pavadintą „AuthedMine“, skirtą prašyti svetainės lankytojo sutikimo prieš paleidžiant „Monero“ kasybos scenarijus. „Coinhive“ teigia, kad maždaug 35 proc. „Monero“ kriptovaliutų kasybos veiklos, kuri naudojasi savo platforma, yra iš svetainių, naudojančių „AuthedMine“.

Tačiau pagal vasario mėnesį paskelbtą saugos firmos ataskaitą Malwarebytes, „AuthedMine“ kodas yra „vos naudojamas“, palyginti su „Coinhive“ kasybos kodu, kuris neprašo leidimo iš svetainės lankytojų. „Malwarebytes“ telemetrijos duomenys (gauti iš antivirusinių įspėjimų, kai vartotojai naršo svetainę, kurioje veikia „Coinhive“ kodas) nustatė, kad „AuthedMine“ naudojama šiek tiek daugiau nei viename proc. Visų atvejų, kai naudojamas „Coinhive“ kasybos kodas.

Vaizdas: Malwarebytes. Aukščiau pateikta statistika nurodo, kiek kartų per dieną nuo sausio 10 d. Iki vasario 7 d. „Malwarebytes“ užblokavo ryšius su „AuthedMine“ ir „Coinhive“.

Paprašytas pakomentuoti „Malwarebytes“ išvadas, „Coinhive“ atsakė, kad jei palyginti nedaug žmonių naudoja „AuthedMine“, tai gali būti dėl to, kad tokios kenkėjiškos programinės įrangos kompanijos, kaip „Malwarebytes“, padarė tai nuostolinga žmonėms.

„Jie nustato, kad mūsų pasirinkta versija yra grėsmė, ir ją blokuoja”, – sakė Coinhive’as. „Kodėl kas nors turėtų naudoti„ AuthedMine “, jei jis užblokuotas kaip ir mūsų pradinis diegimas? Mes nemanome, kad galėtume paleisti Coinhive ir nepatekti į antivirusų įtraukimą į juodąjį sąrašą. Jei antivirusai sako: „kasyba yra bloga“, tada kasyba yra bloga “.

Panašiai ir iš minėtos šaltinio kodo stebėjimo svetainės publicwww.com duomenys rodo, kad maždaug 32 000 svetainių naudoja originalų „Coinhive“ kasybos scenarijų, o svetainėje pateikiama kiek mažiau nei 1200 svetainių, kuriose veikia „AuthedMine“.

KAS YRA „CINHIVE“?

[Author’s’ note: Ordinarily, I prefer to link to sources of information cited in stories, such as those on Coinhive’s own site and other entities mentioned throughout the rest of this piece. However, because many of these links either go to sites that actively mine with Coinhive or that include decidedly not-safe-for-work content, I have included screenshots instead of links in these cases. For these reasons, I would strongly advise against visiting pr0gramm’s Web site.]

Pagal ištrintą pareiškimą originalioje „Coinhive“ svetainės versijoje – monetų avilys[dot]com – „Coinhive“ gimė atlikus eksperimentą įvaizdžio priėmimo ir diskusijų forume vokiečių kalba pr0gramm[dot]com.

Dabar ištrintas teiginys „Apie mus“ ant originalaus monetų avilio[dot]com svetainė. Šis vaizdo įrašas buvo paimtas 2017 m. Rugsėjo 15 d. Vaizdo leidimas archive.org.

Iš tiesų, kelios diskusijos apie „pr0gramm“[dot]com rodo, kad „Coinhive“ kodas pirmą kartą ten pasirodė 2017 m. liepos trečią savaitę. Tuo metu eksperimentas buvo pavadintas „pr0mineris, Ir tos gijos rodo, kad pagrindinis programuotojas, atsakingas už pr0miner, naudojo slapyvardį „int13h“Apie pr0gramm. Laiške šiam autoriui Coinhive patvirtino, kad „didžiąją dalį darbo tada atliko int13h, kuris vis dar yra mūsų komandoje“.

Paprašiau „Coinhive“ aiškumo, kaip iš minėto pareiškimo dingo jos svetainė, susijusi su jos priklausymu „pr0gramm“. „Coinhive“ atsakė, kad tai buvo patogi grožinė literatūra:

„„ Pr0gramm “savininkai yra geri draugai, ir mes jau anksčiau jiems padėjome vykdydami jų infrastruktūrą ir įvairius projektus. Jie leido mums naudoti „pr0gramm“ kaip bandomąją kalnakasio platformą, taip pat leido naudoti jų vardą, kad gautume daugiau patikimumo. Paleisti naują platformą sunku, jei neturite įrašų. Kadangi vėliau sulaukėme šiek tiek viešumo, šio pareiškimo nebereikėjo “.

Paprašyta paaiškinimo apie „platformą“, nurodytą jos pareiškime („Mes patys finansuojame ir valdėme šią platformą pastaruosius 11 metų“) „Coinhive“ atsakė: „Atsiprašome, kad nepaaiškinau:„ ši platforma “iš tikrųjų yra „pr0gramm“.

Gavęs šį atsakymą, kilo mintis, kad kas nors gali sužinoti, kas valdo „Coinhive“, nustatydamas „pr0gramm“ forumo administratorių tapatybes. Aš samprotavau, kad jei jie nebūtų vienas ir tas pats, „pr0gramm“ administratoriai beveik neabejotinai žinotų už „Coinhive“ esančių žmonių tapatybę.

KAS YRA PR0GRAMMA?

Aš ėmiausi bandyti išsiaiškinti, kas veikia „pr0gramm“. Tai nebuvo lengva, bet galų gale visos informacijos, reikalingos tam, kad būtų laisvai prieinama internete.

Leiskite man būti visiškai skaidriam šiuo klausimu: Viskas mano surinktų duomenų (ir pateiktų išsamiame „minčių žemėlapyje“ žemiau) buvo gauti iš viešosios svetainės WHOIS domenų vardų registravimo įrašų arba informacijos, kurią patys „pr0gramm“ administratoriai paskelbė įvairiuose socialinės žiniasklaidos tinkluose. Kitaip tariant, šiame tyrime nėra nieko, ko patys „pr0gramm“ administratoriai nebūtų įdėję į internetą.

Pradėjau nuo paties „pr0gramm“ domeno, kuris, kaip ir daugelis kitų su šiuo tyrimu susijusių sričių, iš pradžių buvo užregistruotas asmeniui, vardu Daktaras Matthiasas Moenchas. Ponas Moenchas yra tik tangentiškai susijęs su šiais tyrimais, todėl kol kas atsisakysiu jo diskusijos, išskyrus tai, kad pasakysiu, kad jis yra nuteistas šlamštas ir žudikas, ir kad paskutiniame šios istorijos poskyryje paaiškinta, kas yra Moenchas ir kodėl jis gali būti prijungtas prie tiek daug šių sričių. Jo istorija yra patraukli ir siaubinga.

Per daugelį savaičių trukusius tyrimus sužinojau, kad „pr0gramm“ iš pradžių buvo susietas su suaugusiųjų svetainių tinklu, susietu su dviem įmonėmis, kurios abi buvo įkurtos daugiau nei prieš dešimtmetį Las Vegase, Nevadoje: „Eroxell Limited“ir „Dustweb Inc.“. Abi šios bendrovės pareiškė dalyvaujančios tam tikros ar kitokios formos reklamoje internete.

Tiek „Eroxell“, tiek „Dustweb“, tiek kelios susijusios „pr0gramm“ svetainės (pvz., pr0minimas[dot]com, pr0mart[dot]de, pr0parduotuvė[dot]com) yra susiję su vokiečiu vardu Reinhardas Fuerstbergeris, kurio domeno registracijos įrašuose yra el. pašto adresas „admin @ pr0gramm[dot]com “. „Eroxell“ / „Dustweb“ taip pat yra susieti su Ispanijoje įsteigta bendrove, vadinama Saulėlydis SL, kurio akivaizdus savininkas yra Fuerstbergeris.

Kaip teigiama pačios „pr0gramm“ svetainėje, forumas prasidėjo 2007 m. Kaip vokiečių kalbos skelbimų lenta, kilusi iš automatizuoto roboto, kuris indeksuos ir rodys vaizdus, ​​paskelbtus tam tikruose internetiniuose pokalbių kanaluose, susijusiuose su nepaprastai populiaraus vaizdo įrašo pirmojo asmens šaudyklės žaidimu. Drebėjimas.

Augant forumo vartotojų bazei, keitėsi ir svetainės talpyklų vaizdų įvairovė, o „pr0gramm“ pradėjo siūlyti mokamas vadinamąsias „pr0mium“ paskyras, kurios leido vartotojams peržiūrėti visus forume nesaugius darbe vaizdus ir komentuoti. diskusijų lentoje. Kai pirmą kartą buvo paleista „pr0gramm“ praėjusių metų liepą pr0mineris (dabartinio „Coinhive“ pirmtakas), jis pakvietė „pr0gramm“ narius išbandyti kodą savo svetainėse ir pasiūlė visiems, kurie tai padarė, reikalauti atlygio pr0mium taškų forma.

Pranešimas apie „pr0gramm“ įrašą apie „pr0miner“, pirmtaką to, kas vėliau taps žinoma kaip „Coinhive“.

DEIMOS IR FOBOS

„Pr0gramm“ 2007 m. Pabaigoje pristatė „Quake“ entuziastas iš Vokietijos Dominic Szablewski, kompiuterių ekspertas, geriausiai žinomas „pr0gramm“ pagal savo ekrano pavadinimą “cha0s. “

„Pr0gramm“ įkūrimo metu Szbalewskis vadovavo „Quake“ diskusijų lentai chaoso drebėjimas[dot]deir asmeninis tinklaraštis – foboslab[dot]org. Man pavyko tai nustatyti atsekant įvairius ryšius, bet svarbiausia …

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Previous post Ko galite tikėtis iš naujos kartos žaidimų
Next post Atsiprašau už mūsų pertraukimą