Эксперт по безопасности Брайан Кребс решил разобраться, кто стоит за знаменитым майнером-паразитом CoinHive (далее CH) и как он появился. У него получилась увлекательная история с красочными персонажами.
Это программа, позволяющая встраивать в самые разные интернет-ресурсы майнер криптовалюты Monero. Майнер работает за счет пользователя ресурса: тормозит его компьютер, изнашивает оборудование, тратит электричество. Никакой выгоды пользователь не получает: 30% намайненной валюты забирают создатели CH, а 70% уходит тому, чей уникальный идентификатор содержится в программном коде майнера на конкретном сайте или в приложении.
CH анонсировал свой майнер как альтернативу рекламе для монетизации сайтов, но он быстро стал ассоциироваться со зловредным программным обеспечением, потому что хакеры встраивали его в чужие сайты и программы, а у пользователей не спрашивали разрешение на майнинг.
Код CH обнаруживался в рекламных баннерах, размещающихся через сервис Google DoubleClick. Однажды его нашли в сервисе BrowseAloud, который зачитывает веб-страницы вслух для слабовидящих и используется на многих британских, американских и канадских государственных сайтах. В декабре майнинг запускался на всех веб-страницах, открываемых в wi-fi сети одного “Старбакса” в Буэнос-Айресе.
Крупнейшие веб-площадки регулярно находят у себя майнер CH, подброшенный хакерами, попавший с рекламой, запущенный недобросовестными администраторами. Это уже случалось с MSN, YouTube, LA Times...
Что за люди создали CH и управляют им сейчас? Понимание этого, возможно, поможет спрогнозировать дальнейшее развитие ситуации
Впервые майнер был запущен на pr0gramm.com, немецком имиджборде (форум, где общение строится вокруг картинок и их подборок).
Этот форум создал Доминик Саблевски (Dominic Szablewski), он же написал и запустил на нём майнер, позже и ставший CoinHive.
Правда, форум он продал ещё в 2015 году, ему не нравились периодические угрозы убийством в ответ на модераторскую активность. Но он дружил с новыми владельцами, и они разрешили ему протестировать майнер, когда он искал альтернативный инструмент монетизации для другого своего проекта.
У pr0gramm.com тоже проблемы с монетизацией. Среди картинок был сомнительный контент, порно, что отпугивало рекламодателей. У форума в основном молодые и продвинутые пользователи, они ставят адблокеры или принципиально не кликают на баннеры. Платное членство стоит 9 евро за 3 месяца, но многие боялись деанонимизации при использовании платежных сервисов.
У Саблевски форум приобрёл некий Фюрстбергер, который придерживается крайне правых политических взглядов и выступает за отделение Баварии от Германии. Фюрстбергер утверждает, что о майнере ничего не знал, запустить его разрешил его деловой партнер, а сам Фюрстбергер шокирован таким предательством.
По информации представителей CH, сейчас проект находится в распоряжении инкубатора Badges2Go, который экспериментирует со стартапами вокруг криптовалют и блокчейна.
Ещё один красочный штрих -- личность владельца домена, на котором располагается pr0gramm.com. Его зовут Маттиас Мёнх (Dr. Matthias Moench), и в 19 лет он нанял для своих богатых родителей киллера, который и зарубил их мачете вместе с домашним пуделем. К такому решению юного Маттиаса подтолкнула обида: родители подарили ему на 18-летие подержанную машину вместо новой Ferrari.
Его приговорили к 9 годам лишения свободы, но выпустили уже через пять лет. Мёнх утверждал, что пришел к вере и хочет стать священником, но стал спамером и заработал 21,5 млн евро на незапрошенной рекламе лекарств от эректильной дисфункции. В 2015 году его посадили на 6 лет за мошенничество, но он должен освободиться уже в этом году.
Впрочем, всё это неважно, Мёнх вряд ли имеет отношение к CH. Просто он объявил в свое время, что разрешает любому киберпреступнику использовать своё имя и данные для сокрытия собственной личности. В результате на него сейчас зарегистрировано огромное количество доменов.
Из всей этой истории понятно, что CoinHive родился и вырос в атмосфере контркультурных веб-проектов из серой зоны. Впрочем, не исключено, что Badges2Go направит его развитие в более конструктивное русло.
Автор расследования утверждает, что установить личности связанных с CoinHive людей он смог с помощью информации из открытых источников. В основном это соцсети и поиск по базе доменных имён, который связывает имена людей, контактную информацию и их домены. Один и тот же код Google Analytics на разных сайтах тоже может указывать на их связь. Расследование Кребса -- лишнее доказательство того, что люди оставляют множество следов в Сети, даже стремясь оставаться анонимными.
Пользователи pr0gramm.com сочли это расследование пагубным для репутации своего любимого форума. Чтобы наказать Кребса, они стали отправлять пожертвования на лечение рака и запустили в соцсетях хэштэг #KrebsIsCancer, потому что с немецкого слово Krebs переводится как “рак”.
Сначала адресатом пожертвований стала организация DKMS, которая борется с раком крови, но её сайт упал под наплывом благотворителей, и форумчане стали отправлять деньги другим организациям Германии, Австрии и Швейцарии, переведя более $250 000.
Кребса эта акция не слишком обидела, потому что киберпреступники ему регулярно мстят. На его сайт устраивают DDoS-атаки, его имя упоминается в коде зловредных программ, ему угрожают насилием и убийствами, так что месть пожертвованиями ему даже понравилась.
Сегодня мы проделаем кое-что необычное — объединим два поста про новые версии продуктов AdGuard в один. В основном это вызвано тем, что недавние обновления как браузерного расширения, так и версии для Mac, полны сугубо технических изменений, говорить о которых простым человеческим языком весьма непросто. Тем не менее, давайте взглянем на самые важные и интересные аспекты AdGuard для Mac 1.5.6 и Браузерного расширения AdGuard 2.9.2.
Согласно отчету PageFair от 2014 года, Google Chrome стал главным катализатором роста блокировки рекламы на компьютерах. Около 20% пользователей открыли для себя возможности блокировки с помощью поиска «доступных браузерных расширений». Учитывая, насколько популярна блокировка рекламы вообще, это довольно высокий показатель. Данный факт также хорошо объясняет, почему «клонирование» широко известных рекламных блокировщиков так распространилось среди онлайн-мошенников. Например, семь месяцев назад по крупным новостным изданиям разошлась история о том, как 37 тысяч пользователей были обмануты, установив поддельное расширение Adblock Plus.
А если я скажу, что из-за плохой модерации Chrome WebStore ситуация в действительности гораздо хуже, и обманутыми в результате установки фейковых блокировщиков, на самом деле, остались более 20 миллионов пользователей? Более того, по сути эти 20 миллионов стали участниками настоящего ботнета.