Чому ботнет ZeroAccess зупинив майнінг Bitcoin
Що більшість людей пропустили про ботнет для майнінгу Bitcoin ZeroAccess.
Цього тижня з’явилося кілька повідомлень про те, як компанія безпеки Symantec ліквідувала значну частину ботнету ZeroAccess для майнінгу Bitcoin . Мало хто згадує, якщо взагалі згадує, що частина ботнету, яка займається видобутком Bitcoin, T працювала майже шість місяців, оскільки розробники навмисно вбили її. Питання в тому, чому?
ZeroAccess — це зловмисне програмне забезпечення, яке приєднує заражений комп’ютер до великої мережі подібних скомпрометованих машин. Потім ними може керувати центральний адміністратор, якого зазвичай називають набридликом, який потім змушує машини виконувати його завдання.
Більшість бот-мереж Соціальні мережі передбачувану злочинну практику, використовуючи комп’ютери жертв для надсилання спаму або просто збирання конфіденційної інформації на заражених машинах, щоб кіберзлочинці могли використовувати їх для викрадення грошей. Інші використовуються для шахрайства з кліками, коли машини змушують натискати прибуткові онлайн-посилання.
ZeroAccess відрізнявся тим, що він містив модуль для майнінгу Bitcoin . Програмне забезпечення використовувало процесори заражених комп’ютерів, щоб Майніть біткойни, повертаючи прибуток порушникам.
ZeroAccess — це T новий ботнет — Symantec вперше побачив його влітку 2011 року, як стверджує Вікрам Тхакур, дослідник Symantec Security Response. Наступна велика редакція з’явилася через рік, а між ними були знайдені незначні редакції.
Але у квітні цього року сталося щось важливе, сказав він, пояснивши:
«ZeroAccess припинив підтримку модуля майнінгу Bitcoin ще в квітні 2013 року. Ботнет використовував потужність хешування всіх цих ботів до квітня 2013 року, а потім випустив оновлення, яке фактично видалило модуль майнінгу. Відтоді майнінгу в мережі ZeroAccess не відбувалося».
Навіщо зловмисникам вбивати програмний модуль, який змушував багато машин із задоволенням скидати біткойни?
Багато технічно проникливих людей, які прочитають це, прийдуть до очевидного висновку, який полягає в тому, що майнінг ЦП є безглуздим, враховуючи високу складність, спричинену швидким зростанням хешрейту в мережі. Це, в свою чергу, викликано потоком обладнання для майнінгу ASIC, яке витісняє графічні процесори, не кажучи вже про процесори з обчислювальною анемією.
Symantec навіть робить математику, взявши за приклад відносно старий тестовий комп’ютер. Він використовував машину Dell OptiPlex GX620 Pentium D 2 ГБ, 3,4 ГГц, щоб перевірити, наскільки зловмисне програмне забезпечення може спричинити його видобуток. Він використовував 136,25 Вт на годину для майнінгу зі швидкістю 1,5 МГ/с. Поставте це поруч із машинами, які KNC Miner щойно почав доставку і це схоже на перегляд a Надійний Робін поруч з Ducati.
Грегорі Максвелл, ONE із CORE команди розробників Bitcoin, каже, що швидкий ЦП працює в районі 1 МГц/ГГц, тобто швидка чотирьохядерна машина з CORE 3 ГГц може працювати 12 МГц/с. Але чи ймовірно, що серед заражених будуть нові машини?
«Принаймні в минулому, у мене склалося враження, що ботнет-машини, як правило, були старішими машинами (з меншою ймовірністю мають поточні виправлення), тому більше нагадували CORE машину 2 ГГц — або 1,5 Мг/с», — сказав він.
Навіть якщо швидші машини заражені, навряд чи вони будуть використовувати всю свою потужність для майнінгу. Ці оцінки швидкості хешування припускають, що комп’ютери весь час будуть повністю неактивні.
Тому на практиці ботнет T чи матиме значний вплив на мережу, стверджує Максвелл. 1,9 мільйона хостів 1,5 MH/s дорівнює приблизно 2,85 TH/s. Мережа вже є хешування зі швидкістю понад 1 петахеш на секунду, що означає, що цей ботнет — дрібна картопля.
Але все це насправді не має значення, завдяки величезній кількості користувачів, які T розуміються на основах ІТ-безпеки та регулярно заражаються. У випадку ZeroAccess їх було 1,9 мільйона.
Припустімо — на користь злочинців — що часткове використання процесора та зараження більш потужних машин компенсують одне одного, і що середня швидкість хешування для 1,9 мільйона машин у мережі справді становила 1,5 МГ/с. За даними Symantec, середній комп’ютер заробляв би близько 41 цента на рік. Але 1,9 мільйона з них карбували б тисячі доларів на день для злочинців. Це легкі гроші. Навіщо вимикати?
У Тхакура є кілька ідей. По-перше, це поганий процес майнінгу. «Сервер пулу для майнінгу мав статичний домен, який міг бути ліквідований правоохоронними органами, якби хтось повідомив про діяльність ботнету; можливо, ботмайстер боявся бути відстеженим через наявність статичного домену як частини інфраструктури корисного навантаження», — сказав він.
Однак у його голові є більш вірогідний сценарій, який є основним прикладом економіки. Навіть якби зловмисники заробляли гроші на незаконному видобутку корисних копалин, вони могли б заробляти більше грошей, менш прозоро, що ставить головне питання про те, куди краще витратити обчислювальну потужність.
Тхакур пропонує:
«Ботмайстер не заробив майже стільки грошей на майнінгу Bitcoin (подумайте про фактор складності), ніж на шахрайстві з кліками.
Відстежити шахрайство в рекламних мережах дуже важко, тому приховувати прибутки за такою інфраструктурою стає більш прибутковим».
Це все обгрунтовані припущення, і ми ніколи не дізнаємося напевно, доки хтось не схопить зловмисників і не допитає їх.
Ми припускаємо, що це поєднання двох, а також, можливо, різка реакція на рух ринку. Зловмисники скасували функцію видобутку Bitcoin у квітні, коли інтерес до Bitcoin досяг історичного максимуму, і коли валюта впала з 266 доларів до 40 доларів. Можливо, вони вирішили, що вартість валюти T виправдовує додаткові цикли ЦП на той момент.
Ми впевнені, що модуль майнінгу T буде повторно активовано зараз, коли потужність хешування мережі стрімко зростає. Крім того, Symantec щойно вивела з ладу півмільйона машин, виконавши влучну технічну дію, відому як синкхолінг. Причин для його повторного впровадження постійно звужується.
З іншого боку, як тільки Litecoin – переважна монета, заснована на зручній для ЦП мережі Scrypt – досягає загальної обізнаності та привертає увагу порушника, ми можемо очікувати, що ботнети скористаються повною мірою. Якщо це станеться, то через пару років.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Біткоїн відновлюється до $93 тис. після падіння після рішення ФРС, але альткоїни залишаються під тиском
Тиск на біткойн у бік зниження слабшає, ринок стабілізується, але ще не вийшов із кризи, зазначив один аналітик.
What to know:
- Біткоїн відновився після різкого ранкового розпродажу у четвер і торгувався вище за $93,000 одразу після закриття торгів на американських фондових ринках.
- Пізній приріст біткойна відбувся на тлі відновлення індексу Nasdaq після значних ранкових втрат; технологічний індекс закрився з падінням всього на 0,25%.
- Негативний тиск на біткойн слабшає, зазначив один аналітик, проте ринок ще не вийшов з критичної ситуації.
