Некоторые «счастливчики» из Франции, Италии, Японии, Испании и Тайваня смогли и почувствовать на себе последствия инцидента, затронувшего интернет-гигант Google и популярный сервис YouTube. Если коротко, то посетители YouTube оказались участниками своеобразного большого бот-нета который майнил криптовалюту, используя ресурсы пользовательских компьютеров. Учитывая количество пользователей YouTube в атакованных странах, общее число пострадавших пользователей вполне может перевалить за 100 млн.
Смотри рекламу — дай заработать «другу»
Злоумышленники разместили в рекламной сети, принадлежащей Google, вредоносный код известного майнера CoinHive и еще один самописный скрипт по майнингу криптовалют. Это позволило им генерить криптовалюты (Monero в частности) на ресурсах посетителей YouTube прямо во время просмотра ими роликов (это одна из разновидностей скрытого майнинга, т.н. «браузерный майнинг» или «криптоджекинг»: устройства посетителей web-сайтов используются для добычи криптовалюты без ведома самих пользователей). При этом переключение на другой браузер проблему не решало, и львиная доля процессорных ресурсов (по некоторым оценкам до 80%) уходила на обеспечение работоспособности вредоносной программы.
Однако наибольшее беспокойство вызывает даже не сам факт взлома контрагента Google (всего в рекламном сервисе Google около 2 млн рекламодателей), а то, что эта рекламная кампания работала на протяжении довольно долгого времени до момента удаления. Google заявляет о времени реакции, не превышающем 2 часов, и фокусе на обнаружении web-майнеров. Но это не отменяет того факта, что само присутствие вредоносного кода в рекламной сети было выявлено и предано огласке случайным пользователем в социальной сети Twitter спустя неделю после старта рекламной кампании со встроенным вредоносным кодом (сеть функционировала с 18 по 26 января по данным компании Trend Micro).
Одной из возможных причин столь медленной реакции может быть использование в браузерах блокировщиков рекламы, защищающих пользователей от подобных атак. Интересно, что вероятнее всего злоумышленники намеренно ограничили прокрутку рекламы только сервисом YouTube.
Это позволило им получить максимальное количество просмотров при наименьшем риске обнаружения, так как некоторые пользователи сервиса как раз отключают блокировщики рекламы, руководствуясь принципами общего блага: YouTube в основном бесплатен для пользователей, основная его монетизация происходит как раз за счет рекламы, поэтому некоторые выражают свою поддержку сервису не блокируя рекламные сообщения. Что и обеспечило их беззащитность в этой истории. Отмечу, что применение не менее популярных расширений браузера, совсем отключающих исполнение скриптов, делает просмотр видеосайта невозможным.
Незнание не освобождает от майнинга
Подобные атаки легко пресекаются на уровне пользователя без приложения значительных усилий и общедоступными средствами. Например, как уже упоминалось выше, блокировщиками рекламы, большинством популярных антивирусов или специальными расширениями для браузера.
А элементарная осмотрительность позволит моментально обнаружить действие майнера «на глаз» просто по замедлению работы компьютера. Кстати, в Trend Micro также утверждают, что во время действия этой рекламной кампании количество обнаруженных web-майнеров на компьютерах пользователей возросло на 285%. И, скорее всего, это произошло за счет массы неосведомленных в вопросах информационной безопасности пользователей, не понявших сути оповещений антивирусов, а то и вовсе проигнорировавших их (по нашей статистике вирусные атаки входят в тройку наиболее действенных в отношении частных лиц).
Немного о кибербухгалтерии
Именно финансовая прибыль является ключевым мотиватором для злоумышленников: по статистике до 70% всех киберпреступлений совершаются именно в целях финансовой наживы. А ажиотаж вокруг криптовалюты в 2017 году заставил злоумышленников обратить на нее пристальное внимание: к примеру, те же ботнеты, добывающие криптовалюту, сегодня приносят злоумышленникам хороший доход. Так, ботнет из зараженных веб-серверов (для скрытой установки ПО для майнинга Monero использовалась уязвимость в продукте Microsoft) за три месяца принес злоумышленникам более 63 000 долларов.
В истории с веб-майнерами в рекламной сети, доход хакеров может оказаться еще выше. Прикинем: за одну неделю непрерывного майнинга Monero на самом производительном домашнем процессоре (90 h/s), можно заработать порядка одного доллара (по данным портала WhatToMine).
Предположим, что рекламу за неделю посмотрело от 10 до 100 млн человек (и это вполне реальное число пользователей YouTube в подвергшихся атаке странах), каждый из них пробыл на сайте от 10 минут до 1 часа в день и средний хешрейт составлял 30−60 хешей в секунду (то есть $0,05-$0,1 прибыли в день по данным все того же портала). Далее, вспомним, что сеть функционировала неделю, учтем 4% экономии на комиссии Coinhive за счет использования собственного скрипта в 10% случаев, и получим прибыль злоумышленника в широком диапазоне от $17 743 до $2 млн.
Хотя подсчеты приближенные, но позволяют прогнозировать, что майнинг криптовалюты за счет посетителей веб-сайтов в ближайшем будущем может стать популярней, чем монетизация с помощью контекстной рекламы. Сервисы, предлагающие владельцам сайтов зарабатывать за счет встраивания скриптов для майнинга в код ресурса, уже существуют (например, тот же Coinhive — это легальный сервис), и количество их клиентов будет расти. Поэтому без сомнения атаки такого рода будут происходить и дальше (пока это обещает прибыль их организаторам). Новости об этом появляются постоянно, например, даже в магазине приложений операционной системы Android Google Play уже замечали приложения со встроенным майнером.
Доверять или сомневаться
Атака с добыванием криптовалюты на компьютере жертвы (криптоджекинг) не несет значительных негативных последствий для пользователей. После отключения вредоносной программы, данные пользователя остаются в сохранности.
Однако и в этой истории есть второе дно: стоит обратить внимание на то, как она развивалась. Вместо конечной цели (пользователя), шла атака на контрагентов, партнеров, популярные публичные площадки, которые менее защищены и хуже контролируются, а самое главное, им доверяют.
Доверие — это ход, которым киберпреступники начинают пользоваться все чаще: каждая вторая успешная атака на организацию, которую мы расследовали в прошлом году, была проведена именно через скомпрометированный «ранее надежный» источник.
Здесь можно вспомнить и группировку Cobalt, активно атакующую отечественные финансовые компании, которая для начала взламывает контрагентов своей истинной цели и использует их реальные почтовые ящики для рассылки фишинговых писем, и нашумевший с полгода назад вирус NotPetya, который также использовал для своего распространения готовую инфраструктуру компании M.E.Doc. К чему эти примеры? Как и в случае «навешивания» майнера на сервисы YouTube использовалась та же тактика: атаковать не самих пользователей, а площадку, облеченную их доверием.
В следующий раз атака через доверенную площадку может проводиться не для относительно безобидного криптоджекинга, в ту же рекламную выдачу YouTube может попасть недетектируемый вредоносный код, который сможет причинять реальный ущерб пользователям (например, перенаправить пользователя на вредоносный сайт). А теперь вспомним о том, как быстро был выявлен вредоносный код в рекламной компании в этот раз, дополним это средним охватом и... получим очередную эпидемию мирового масштаба.