Воздух за большие деньги ― Bitcoin’ами заинтересовались профи

(из обзора)
Сама возможность генерации денег «из воздуха», да еще за счет чужих компьютеров, для злоумышленников более чем интересна. Первые вредоносные программы, нацеленные на кражу или генерацию валюты в системе Bitcoin, были обнаружены во втором квартале 2011. Однако они не отличались сложностью и не получили широкого распространения. В третьем же квартале ситуация изменилась. Мы зафиксировали несколько инцидентов, свидетельствующих о том, что идеей создания денег «из воздуха» заинтересовались опытные киберпреступники.
В августе нами, совместно с Arbor Networks, была обнаружена вредоносная программа Trojan.Win32.Miner.h, основной целью которой является создание P2P-ботсети. Анализ сети показал, что в нее входят как минимум 38 000 машин, доступных из интернета. Большая часть компьютеров сегодня работает за роутерами и другими сетевыми устройствами, поэтому на самом деле машин в этой ботсети может быть на порядки больше. Столь внушительный ботнет злоумышленники используют для генерации монет Bitcoin. Загрузившийся на компьютер бот доставляет сразу три программы для генерации Bitcoin: Ufasoft miner, RCP miner и Phoenix miner, — которые подключаются к Bitсoin-пулам, расположенным в различных странах мира.
Вторым случаем использования Bitcoin с целью монетизации уже намного более крупного ботнета стал TDSS. В начале августа боты TDSS стали получать новый конфигурационный файл, в котором были указаны майнер и Bitсoin-пул с именем и паролем выгодоприобретателя. Но такое решение было не очень удачным для злоумышленников: поскольку имя и пароль, а также сам Bitсoin-пул указываются в конфигурационном файле, афера может быть достаточно быстро раскрыта. Решение этой проблемы не заставило себя долго ждать. В Сети существует открытое программное обеспечение для создания собственного пула ― pushpool. Им и воспользовались злоумышленники, сконфигурировав его в качестве прокси-сервера до основного пула. Боты TDSS, подключаясь к такому прокси-серверу, получают сгенерированные случайным образом имена и пароли пользователей Bitсoin-пула и начинают генерировать деньги. При этом истинное имя пользователя и имя Bitсoin-пула хранятся на прокси-сервере, и все транзакции идут через него. К сожалению, при использовании такой схемы у исследователей нет возможности узнать, для какого же Bitсoin-пула и в каком количестве генерируются монеты. По нашим данным только за первый квартал 2011 TDSS были заражены 4,5 миллиона компьютеров по всему миру. Более четверти этих компьютеров находятся в США, где компьютерная техника обновляется очень быстро. Вывод напрашивается: хозяева TDSS располагают мощными вычислительными ресурсами, объем которых продолжает увеличиваться.
Отметим, что такая схема монетизации имеет одну важную особенность ― доходы злоумышленников зависят от курса валюты. Так, ботнет, построенный на основе Trojan.Win32.Miner.h, в конце августа стал загружать еще и DDoS-боты. Именно в это время отдача от биткойнов должна была снизиться в связи со значительным изменением курса: в начале августа Bitcoin стоил $13, а к концу сентября — $4,8.