На этой неделе известный журналист Брайан Кребс опубликовал на своем сайте итоги детального расследования, которое было призвано установить, кому сейчас принадлежит сервис для браузерного майнинга Coinhive. Однако в своей статье Кребс «обидел» сообщество немецкого имиджборда Pr0gramm (pr0gramm.com), с которым связаны операторы Coinhive, и его пользователи в итоге устроили очень необычную акцию протеста.
Coinhive
Название Coinhive в последние месяцы стало практически синонимом слов криптоджекинг и браузерный майнинг. Начиная с осени 2017 года пользователи все чаще страдают от скрытых майнеров, причем это вовсе не означает, что устройство жертвы было заражено вредоносом, добывающим криптовалюту. Теперь достаточно неудачно зайти на какой-либо сайт, в код которого был встроен так называемый «браузерный майнер» – специальный JavaScript, который использует ресурсы устройства пользователя для добычи криптовалюты Monero, пока тот находится на сайте.
К сожалению, основная проблема заключается в том, что даже владельцы сайтов далеко не всегда знают о существовании майнинговых скриптов в коде их ресурсов. Сайты все чаще подвергаются взлому с целью интеграции таких майнеров. К примеру, от подобной атаки пострадали сразу несколько тысяч правительственных учреждений, такими же скриптами заражены тысячи сайтов под управлением WordPress, а ИБ-специалисты предполагают, что жертвами криптоджекинга уже стали не менее 30 млн человек.
Но чаще всего злоумышленники и операторы сайтов не пишут подобные майнинговые скрипты самостоятельно, они пользуются многочисленными сервисами, предлагающими такие услуги. Одним из первых в этой области был сервис Coinhive, и по данным аналитиков компании 360 Netlab, он по-прежнему сохраняет лидерство в этой сфере.
В феврале 2018 года операторы Coinhive дали небольшое интервью изданию Vice Motherboard, в котором рассказали, что они даже не предполагали, что создают инструмент для обогащения киберпреступников и изначально преследовали абсолютно иные цели. Во время этой беседы создатели Coinhive признались, что в настоящее время репутация их проекта оставляет желать лучшего и стать хуже уже вряд ли может.
При этом нужно учесть, что разработчики Coinhive хотят, чтобы их сервис перестали воспринимать как инструмент для киберпреступников, и стали узнавать в нем легальное решение. К примеру, еще осенью 2017 года был создан специальный UI виджет, который призван упростить жизнь тем клиентам сервиса, которые хотят идти законным путем. Виджет позволяет посетителям сайтов с майнерами легко контролировать их работу.
О чем писал Брайан Кребс?
Брайан Кребс — один из ветеранов инфосек-журналистики, знаменитый своими расследованиями и разоблачениями. Благодаря собранной им информации, на чистую воду удалось вывести не одну хакерскую группировку. При этом он не только не стесняется передавать собранную им информацию в руки правоохранительных органов, но также публикует в своем блоге масштабные разоблачения, деанонимизируя преступников и пошагово рассказывая, как ему удалось это сделать.
Киберпреступники пытаются отомстить журналисту уже много лет. Так, домой к Кребсу уже присылали отряд спецназа, брали от его имени кредит на 20 000 долларов, перечисляли 1000 долларов на его счет PayPal с украденной платежной карты, а сам PayPal-аккаунт компрометировали не раз, и даже пытались перевести деньги со счета Кребса террористу запрещенной в России организации ИГИЛ. После разоблачения авторов IoT-малвари Mirai сайт Кребса и вовсе подвергся одной из самых мощных на тот момент DDoS-атак в истории. Также стоит сказать, что авторы вредоносного ПО нередко упоминают Брайана Кребса в коде своих программ в качестве своеобразного «привета».
Новая статья Кребса, посвященная Coinhive и владельцам сервиса, возмутила многих пользователей сети. Так, в своем материале Кребс пишет о Coinhive исключительно, как о малвари, называя сервис едва ли не главной угрозой нашего времени. Исследователь акцентирует внимание на том обстоятельстве, что операторы Coinhive оставляют себе 30% всех криптовалютных прибылей, тогда как клиенты забирают 70%.
Фактически, журналист обвиняет авторов Coinhive в том, что они практически не борются со злоупотреблениями своим сервисом и зарабатывают деньги вместе с многочисленными киберпреступниками. По данным Кребса, даже если операторы Coinhive отключают конкретного пользователя от своего сервиса и отзывают его ключ, майнинговый скрипт все равно продолжает работать, просто вся добытая криптовалюта оседает в карманах Coinhive, а заблокированный пользователь более не получает ничего.
Операторы Coinhive ответили на критику Кребса в письме, где сообщили исследователю, что знают об этой проблеме и в настоящее время пытаются внедрить механизмы для ее решения. Также недавно разработчики представили AuthedMine – еще одно решение для майнинга, которое запрашивает согласие пользователя, перед тем, как начать «копать» Monero через его браузер. По словам операторов Coinhive, AuthedMine используют около 35% их клиентов. Однако Кребс, ссылаясь на данные специалистов Malwarebytes, пишет, что эти цифры – ложь, а AuthedMine практически никто не пользуется.
Но простой критикой в адрес Coinhive журналист не ограничился. Кребс решил установить личности авторов и операторов Coinhive, и очень скоро расследование привело его на немецкий имиджборд pr0gramm.com, где прошлым летом в качестве эксперимента и зародился браузерный майнер (тогда проект носил имя pr0miner). Замечу, что в своей статье Кребс подчеркнуто не дает прямых ссылок на Pr0gramm, так как, по его мнению, этот сайт может быть опасен — там могут работать скрипты Coinhive.
Ранее информация о связи Pr0gramm и Coinhive была открыто опубликована на официальном сайте Coinhive (см. иллюстрацию ниже). Нынешние владельцы Coinhive полностью подтвердили эту информацию Кребсу и объяснили, что использовать имя Pr0gramm более нет нужды, так как сейчас проект стал полностью самостоятельным, хотя на первых порах администрация имиджборда действительно помогала Coinhive инфраструктурой и не только.
После этого Кребс решил заняться тем, что получается у него едва ли не лучше всего – деанонимизировать администраторов и операторов Pr0gramm, в попытке установить личности создателей браузерного майнера и разобраться, кто управляет Coinhive сейчас. В своем расследовании Кребс, как обычно, полагался только на данные из открытых источников. Иными словами, он как следует покопался в сети, собрав информацию и «цифровые следы», которые администраторы Pr0gramm сами оставили о себе в интернете.
Масштабы проведенного Брайаном Кребсом расследования хорошо иллюстрирует приведенная выше карта ассоциаций, которую журналист составил для себя на досуге.
Приводить здесь всю цепочку заключений и выводов Кребса мы не станем, ограничившись сутью (напоминаю, что желающие могут ознакомиться с оригиналом статьи). Брайан Кребс действительно успешно деанонимизировал сразу нескольких администраторов и модераторов Pr0gramm, проследив практически всю историю сайта с самого начала. Более того, он опубликовал в своем блоге их реальные имена, а также детали их прошлого. К примеру, Кребс начал расследование с человека, на чье имя зарегистрирован домен имиджборда. Журналист пишет, что этот человек оказался связан с расследованием лишь косвенно, но тут же описывает его как «осужденного спамера и убийцу».
В итоге Брайан Кребс сумел проследить зарождение Coinhive на базе Pr0gramm, опубликовал в своем материале множество личных данных самых разных людей, имевших и имеющих отношение к имиджборду (но далеко не все из них имеют отношение к работе Coinhive). Убедил нынешних операторов Coinhive добавить на сайт более подробную юридическую информацию о компании, владеющей сервисом в настоящее время, но, в сущности, так и не выяснил, кто управляет проектом сейчас.
#KrebsIsCancer
В своей публикации журналист отзывается о пользователях Pr0gramm весьма негативно. Это, вкупе с публикацией личных данных администраторов имиджборда, едва не привело к закрытию Pr0gramm, а также, как уже было сказано выше, действия Брайана Кребса раскритиковали и многие простые пользователи сети, не имеющие никакого отношения к немецкому сайту.
В конце концов, сообщество Pr0gramm решило провести акцию проекта, направленную против Брайана Кребса. И пользователи имиджборда выбрали, наверное, самый необычный способ из всех, что нам доводилось видеть.
Дело в том, что на немецкий язык фамилия журналиста, Krebs, переводится как «рак». И сообщество Pr0gramm решило выразить свой протест против публикации не DDoS-атакой или очередным вызовом спецназа на адрес Кребса. Пользователи решили в буквальном смысле «бороться с раком».
На Pr0gramm и в социальных сетях была запущена кампания, получившая собственный хештег #KrebsIsCancer («Кребс — это рак»). Пользователи и администрация имиджборда призвали всех неравнодушных жертвовать деньги в адрес некоммерческой организации German Cancer Aid (DKMS), которая борется с раковыми заболеваниями и финансирует различные исследования в этой области.
Эффект от этой кампании оказался настолько силен, что вскоре сайт организации не справился с наплывом посетителей и ушел в оффлайн. Тогда сообщество переключилось на другие организации и фонды по борьбе с раком, жертвуя деньги им. По данным немецких СМИ, только в адрес German Cancer Aid пользователи пожертвовали более 126 000 долларов. Только 28 марта 2018 на счет организации поступило более 4100 пожертвований.
Представители DKMS пишут в Twitter, что они не могли поверить своим глазами и благодарят всех пользователей за перечисленные средства.
В настоящее время на главной странице Pr0gramm опубликованы сотни скриншотов платежей, отправленных в адрес различных организаций, борющихся с раком. Также администрация Pr0gramm заявила, что все пользователи, принявшие участие в акции #KrebsIsCancer получат на сайте специальные бейджи.
