Безопасник разоблачил создателя CoinHive и подвергся странной мести

Эксперт по безопасности Брайан Кребс решил разобраться, кто стоит за знаменитым майнером-паразитом CoinHive (далее CH) и как он появился. У него получилась увлекательная история с красочными персонажами.

Что такое CoinHive, или “хотели как лучше…”

Это программа, позволяющая встраивать в самые разные интернет-ресурсы майнер криптовалюты Monero. Майнер работает за счет пользователя ресурса: тормозит его компьютер, изнашивает оборудование, тратит электричество. Никакой выгоды пользователь не получает: 30% намайненной валюты забирают создатели CH, а 70% уходит тому, чей уникальный идентификатор содержится в программном коде майнера на конкретном сайте или в приложении.

CH анонсировал свой майнер как альтернативу рекламе для монетизации сайтов, но он быстро стал ассоциироваться со зловредным программным обеспечением, потому что хакеры встраивали его в чужие сайты и программы, а у пользователей не спрашивали разрешение на майнинг.

Код CH обнаруживался в рекламных баннерах, размещающихся через сервис Google DoubleClick. Однажды его нашли в сервисе BrowseAloud, который зачитывает веб-страницы вслух для слабовидящих и используется на многих британских, американских и канадских государственных сайтах. В декабре майнинг запускался на всех веб-страницах, открываемых в wi-fi сети одного “Старбакса” в Буэнос-Айресе.

Крупнейшие веб-площадки регулярно находят у себя майнер CH, подброшенный хакерами, попавший с рекламой, запущенный недобросовестными администраторами. Это уже случалось с MSN, YouTube, LA Times...

Что за люди создали CH и управляют им сейчас? Понимание этого, возможно, поможет спрогнозировать дальнейшее развитие ситуации

Что узнал Кребс

Впервые майнер был запущен на pr0gramm.com, немецком имиджборде (форум, где общение строится вокруг картинок и их подборок).

Этот форум создал Доминик Саблевски (Dominic Szablewski), он же написал и запустил на нём майнер, позже и ставший CoinHive.

Правда, форум он продал ещё в 2015 году, ему не нравились периодические угрозы убийством в ответ на модераторскую активность. Но он дружил с новыми владельцами, и они разрешили ему протестировать майнер, когда он искал альтернативный инструмент монетизации для другого своего проекта.

У pr0gramm.com тоже проблемы с монетизацией. Среди картинок был сомнительный контент, порно, что отпугивало рекламодателей. У форума в основном молодые и продвинутые пользователи, они ставят адблокеры или принципиально не кликают на баннеры. Платное членство стоит 9 евро за 3 месяца, но многие боялись деанонимизации при использовании платежных сервисов.

У Саблевски форум приобрёл некий Фюрстбергер, который придерживается крайне правых политических взглядов и выступает за отделение Баварии от Германии. Фюрстбергер утверждает, что о майнере ничего не знал, запустить его разрешил его деловой партнер, а сам Фюрстбергер шокирован таким предательством.

По информации представителей CH, сейчас проект находится в распоряжении инкубатора Badges2Go, который экспериментирует со стартапами вокруг криптовалют и блокчейна.

Ещё один красочный штрих -- личность владельца домена, на котором располагается pr0gramm.com. Его зовут Маттиас Мёнх (Dr. Matthias Moench), и в 19 лет он нанял для своих богатых родителей киллера, который и зарубил их мачете вместе с домашним пуделем. К такому решению юного Маттиаса подтолкнула обида: родители подарили ему на 18-летие подержанную машину вместо новой Ferrari.

Его приговорили к 9 годам лишения свободы, но выпустили уже через пять лет. Мёнх утверждал, что пришел к вере и хочет стать священником, но стал спамером и заработал 21,5 млн евро на незапрошенной рекламе лекарств от эректильной дисфункции. В 2015 году его посадили на 6 лет за мошенничество, но он должен освободиться уже в этом году.

Впрочем, всё это неважно, Мёнх вряд ли имеет отношение к CH. Просто он объявил в свое время, что разрешает любому киберпреступнику использовать своё имя и данные для сокрытия собственной личности. В результате на него сейчас зарегистрировано огромное количество доменов.

Из всей этой истории понятно, что CoinHive родился и вырос в атмосфере контркультурных веб-проектов из серой зоны. Впрочем, не исключено, что Badges2Go направит его развитие в более конструктивное русло.

Как работал Кребс

Автор расследования утверждает, что установить личности связанных с CoinHive людей он смог с помощью информации из открытых источников. В основном это соцсети и поиск по базе доменных имён, который связывает имена людей, контактную информацию и их домены. Один и тот же код Google Analytics на разных сайтах тоже может указывать на их связь. Расследование Кребса -- лишнее доказательство того, что люди оставляют множество следов в Сети, даже стремясь оставаться анонимными.

Как Кребсу отомстили

Пользователи pr0gramm.com сочли это расследование пагубным для репутации своего любимого форума. Чтобы наказать Кребса, они стали отправлять пожертвования на лечение рака и запустили в соцсетях хэштэг #KrebsIsCancer, потому что с немецкого слово Krebs переводится как “рак”.

Сначала адресатом пожертвований стала организация DKMS, которая борется с раком крови, но её сайт упал под наплывом благотворителей, и форумчане стали отправлять деньги другим организациям Германии, Австрии и Швейцарии, переведя более $250 000.

Кребса эта акция не слишком обидела, потому что киберпреступники ему регулярно мстят. На его сайт устраивают DDoS-атаки, его имя упоминается в коде зловредных программ, ему угрожают насилием и убийствами, так что месть пожертвованиями ему даже понравилась.

Ludmila Kudryavtseva для Industry News криптоджекинг
11 апреля 2018 г.
Система комментариев предоставлена Disqus. Загружая комментарии, вы соглашаетесь с политикой использования Disqus.
AdGuard для Mac / браузерное расширение: двойной релиз

Сегодня мы проделаем кое-что необычное — объединим два поста про новые версии продуктов AdGuard в один. В основном это вызвано тем, что недавние обновления как браузерного расширения, так и версии для Mac, полны сугубо технических изменений, говорить о которых простым человеческим языком весьма непросто. Тем не менее, давайте взглянем на самые важные и интересные аспекты AdGuard для Mac 1.5.6 и Браузерного расширения AdGuard 2.9.2.

Andrey Meshkov для AdGuard News
18 апреля 2018 г.
Больше 20 миллионов пользователей Chrome стали участниками ботнета из фейковых блокировщиков рекламы

Согласно отчету PageFair от 2014 года, Google Chrome стал главным катализатором роста блокировки рекламы на компьютерах. Около 20% пользователей открыли для себя возможности блокировки с помощью поиска «доступных браузерных расширений». Учитывая, насколько популярна блокировка рекламы вообще, это довольно высокий показатель. Данный факт также хорошо объясняет, почему «клонирование» широко известных рекламных блокировщиков так распространилось среди онлайн-мошенников. Например, семь месяцев назад по крупным новостным изданиям разошлась история о том, как 37 тысяч пользователей были обмануты, установив поддельное расширение Adblock Plus.

А если я скажу, что из-за плохой модерации Chrome WebStore ситуация в действительности гораздо хуже, и обманутыми в результате установки фейковых блокировщиков, на самом деле, остались более 20 миллионов пользователей? Более того, по сути эти 20 миллионов стали участниками настоящего ботнета.