Эксперт по безопасности Брайан Кребс решил разобраться, кто стоит за знаменитым майнером-паразитом CoinHive (далее CH) и как он появился. У него получилась увлекательная история с красочными персонажами.

Что такое CoinHive, или “хотели как лучше…”

Это программа, позволяющая встраивать в самые разные интернет-ресурсы майнер криптовалюты Monero. Майнер работает за счет пользователя ресурса: тормозит его компьютер, изнашивает оборудование, тратит электричество. Никакой выгоды пользователь не получает: 30% намайненной валюты забирают создатели CH, а 70% уходит тому, чей уникальный идентификатор содержится в программном коде майнера на конкретном сайте или в приложении.

CH анонсировал свой майнер как альтернативу рекламе для монетизации сайтов, но он быстро стал ассоциироваться со зловредным программным обеспечением, потому что хакеры встраивали его в чужие сайты и программы, а у пользователей не спрашивали разрешение на майнинг.

Код CH обнаруживался в рекламных баннерах, размещающихся через сервис Google DoubleClick. Однажды его нашли в сервисе BrowseAloud, который зачитывает веб-страницы вслух для слабовидящих и используется на многих британских, американских и канадских государственных сайтах. В декабре майнинг запускался на всех веб-страницах, открываемых в wi-fi сети одного “Старбакса” в Буэнос-Айресе.

Крупнейшие веб-площадки регулярно находят у себя майнер CH, подброшенный хакерами, попавший с рекламой, запущенный недобросовестными администраторами. Это уже случалось с MSN, YouTube, LA Times...

Что за люди создали CH и управляют им сейчас? Понимание этого, возможно, поможет спрогнозировать дальнейшее развитие ситуации

Что узнал Кребс

Впервые майнер был запущен на pr0gramm.com, немецком имиджборде (форум, где общение строится вокруг картинок и их подборок).

Этот форум создал Доминик Саблевски (Dominic Szablewski), он же написал и запустил на нём майнер, позже и ставший CoinHive.

Правда, форум он продал ещё в 2015 году, ему не нравились периодические угрозы убийством в ответ на модераторскую активность. Но он дружил с новыми владельцами, и они разрешили ему протестировать майнер, когда он искал альтернативный инструмент монетизации для другого своего проекта.

У pr0gramm.com тоже проблемы с монетизацией. Среди картинок был сомнительный контент, порно, что отпугивало рекламодателей. У форума в основном молодые и продвинутые пользователи, они ставят адблокеры или принципиально не кликают на баннеры. Платное членство стоит 9 евро за 3 месяца, но многие боялись деанонимизации при использовании платежных сервисов.

У Саблевски форум приобрёл некий Фюрстбергер, который придерживается крайне правых политических взглядов и выступает за отделение Баварии от Германии. Фюрстбергер утверждает, что о майнере ничего не знал, запустить его разрешил его деловой партнер, а сам Фюрстбергер шокирован таким предательством.

По информации представителей CH, сейчас проект находится в распоряжении инкубатора Badges2Go, который экспериментирует со стартапами вокруг криптовалют и блокчейна.

Ещё один красочный штрих -- личность владельца домена, на котором располагается pr0gramm.com. Его зовут Маттиас Мёнх (Dr. Matthias Moench), и в 19 лет он нанял для своих богатых родителей киллера, который и зарубил их мачете вместе с домашним пуделем. К такому решению юного Маттиаса подтолкнула обида: родители подарили ему на 18-летие подержанную машину вместо новой Ferrari.

Его приговорили к 9 годам лишения свободы, но выпустили уже через пять лет. Мёнх утверждал, что пришел к вере и хочет стать священником, но стал спамером и заработал 21,5 млн евро на незапрошенной рекламе лекарств от эректильной дисфункции. В 2015 году его посадили на 6 лет за мошенничество, но он должен освободиться уже в этом году.

Впрочем, всё это неважно, Мёнх вряд ли имеет отношение к CH. Просто он объявил в свое время, что разрешает любому киберпреступнику использовать своё имя и данные для сокрытия собственной личности. В результате на него сейчас зарегистрировано огромное количество доменов.

Из всей этой истории понятно, что CoinHive родился и вырос в атмосфере контркультурных веб-проектов из серой зоны. Впрочем, не исключено, что Badges2Go направит его развитие в более конструктивное русло.

Как работал Кребс

Автор расследования утверждает, что установить личности связанных с CoinHive людей он смог с помощью информации из открытых источников. В основном это соцсети и поиск по базе доменных имён, который связывает имена людей, контактную информацию и их домены. Один и тот же код Google Analytics на разных сайтах тоже может указывать на их связь. Расследование Кребса -- лишнее доказательство того, что люди оставляют множество следов в Сети, даже стремясь оставаться анонимными.

Как Кребсу отомстили

Пользователи pr0gramm.com сочли это расследование пагубным для репутации своего любимого форума. Чтобы наказать Кребса, они стали отправлять пожертвования на лечение рака и запустили в соцсетях хэштэг #KrebsIsCancer, потому что с немецкого слово Krebs переводится как “рак”.

Сначала адресатом пожертвований стала организация DKMS, которая борется с раком крови, но её сайт упал под наплывом благотворителей, и форумчане стали отправлять деньги другим организациям Германии, Австрии и Швейцарии, переведя более $250 000.

Кребса эта акция не слишком обидела, потому что киберпреступники ему регулярно мстят. На его сайт устраивают DDoS-атаки, его имя упоминается в коде зловредных программ, ему угрожают насилием и убийствами, так что месть пожертвованиями ему даже понравилась.