多家平安公司最近将加密货币挖矿效劳Coinhive定为Web用户最大的要挟,这归咎于运用Coinhive的代码的网站被黑客入侵,窃取了访客设备的处置才能。本文讨论Coinhive在推出不到一年后如何跃居要挟排行榜第一,并探究关于这个效劳面前参与者的身份线索。
Coinhive是一种加密货币挖矿效劳,靠的是一小段嵌入网站的代码。该代码借用拜访网站的阅读器的局部或全部计算才能,将该机器列到一个竞价零碎中,用于发掘Monero加密货币。
Monero与比特币的不同之处在于,买卖是不可追溯的,内部人无法追踪单方之间的Monero买卖。自然,这种特性使得Monero关于网络立功分子特别有吸引力。
Coinhive去年夏天发布了它的挖矿代码,声称站长们不需求投放侵入性、厌恶的广告也可以取得支出。但后来Coinhive的代码已成为多家平安公司追踪的头号歹意软件。这是由于大局部状况下代码都装置在被黑的网站上,一切者不知情也未受权。
就像被歹意软件或特洛伊木马感染一样,Coinhive的代码常常会锁定用户的阅读器,并耗尽设备的电池,只需拜访者阅读网站,它就会全程发掘Monero。
目前有近32,000个网站运转Coinhive的Javascript矿机代码。很难说其中有多少网站有意装置了这些代码,近几个月来黑客曾经机密地将代码嵌入到了一些十分盛行的网站上,包括“洛杉矶时报”官网、挪动设备制造商Blackberry、Politifact 和Showtime。
而且代码还在一些意想不到的中央呈现。12月,Coinhive代码被发现嵌入在布宜诺斯艾利斯星巴克Wi-Fi热点的一切网页中。1月的大约一周工夫里,Coinhive被发现隐藏在日本、法国、意大利、西班牙和中国台湾的YouTube广告内(经过Google的DoubleClick平台)。2月,Coinhive在Textalp提供的“Browsealoud”上被发现,该效劳为视障人士朗诵网页。除了一些美国和加拿大政府网站之外,该效劳还在英国许多政府网站失掉普遍运用。
Coinhive会从中失掉什么?无论网站能否赞同运转它,Coinhive都会从网站取得的Monero加密货币抽成30%。该代码与一个特殊的密钥绑定,密钥标识哪个用户帐户会收到另外70%的支出。
Coinhive的确承受赞扬,但它通常只回应被黑网站主人的赞扬(对大局部第三方提出的赞扬不予理会)。更蹩脚的是,当Coinhive对赞扬作出回应时,它只是让秘钥生效而已。
但据平安专家Troy Mursch说,他花很多工夫跟踪Coinhive和其他“密码劫持”恳求,解绑密钥并不会阻止Coinhive的代码持续在黑客攻击的网站上发掘Monero。一旦密钥生效,发掘的加密货币会100%归Coinhive一切。
Mursch说,Coinhive似乎毫无动力监控滥用代码的行为。
他们'终止'一个密钥时,只是禁用了平台上的用户,不会阻止歹意Javascript运转,这只是意味着关联的Coinhive用户不会失掉报酬。代码不断在运转,而Coinhive取得了一切的支出。也许他们对此能干为力,或许他们不想。但只需代码依然在黑客攻击的网站上,它不断在赚钱。
关于这种分明的利益相关,Coinhive的回应很官方,宣称正在努力修正。
“我们在假定网站密钥是不可改动的前提下开发了Coinhive,”Coinhive回复道。“用户无法删除站点密钥。这极大地简化了最后的开发。我们可以在WebSocket效劳器上缓存站点密钥,而不是从每个新客户端的数据库重新加载它们。我们正在研讨一种机制将密钥的生效告知WebSocket效劳器。”
AUTHEDMINE代码降生
Coinhive经过发布新版本“AuthedMine”来回应这种批判,该代码旨在运转Monero发掘脚本之前先征求网站拜访者的受权。Coinhive号称运用其平台的挖矿活动中约35%来自运用AuthedMine的网站。
但依据2月份由平安公司Malwarebytes发布的报告,与不需求网站访客允许的挖矿代码相比,AuthedMine代码“简直没人运用”。Malwarebytes的病毒警报数据显示,触及Coinhive的挖矿代码的一切案例中,AuthedMine的运用率略高于百分之一。
插图:以上统计数据显示 1 月 10 日至 2 月 7 日时期每天 Malwarebytes 阻止 AuthedMine 和 Coinhive 的衔接次数。
当被要求评论Malwarebytes的调查后果时,Coinhive答复说,假如运用AuthedMine的人绝对较少,这能够是由于像Malwarebytes这样的反歹意软件公司曾经让人们有利可图。
“他们以为可供选择的版本是要挟并阻止它,”Coinhive说。 “没有人会运用AuthedMine,由于它被杀毒软件阻止了? 假如杀毒软件以为“挖矿不好”,那么采矿就是不好的。”
异样,源代码跟踪站点publicwww.com的数据显示,大约32,000个站点正在运转原始Coinhive挖矿脚本,而该站点列出的运转AuthedMine的站点仅有1,200个。
Cionhive究竟是谁?
依据Coinhive网站的原先的一份声明,Coinhive降生于德语图像托管和论坛pr0gramm.com的一项实验。
确实,pr0gramm.com上的多个讨论主题显示,Coinhive的代码在2017年7月的第三周初次呈现。事先实验被称为“pr0miner”,并且这些线索标明担任pr0miner的中心顺序员运用 pr0gramm上的昵称“int13h”。Coinhive证明“事先大局部任务都是由int13h完成的,他依然在我们的团队中。”
当被要求解释为什么与pr0gramm关系那段声明被删除, Coinhive说是为了图便当:
“pr0gramm由几个好冤家发起,我们过来曾协助他们完成根底设备和各种项目。 他们让我们用pr0gramm作为挖矿的实验台,并让我们用他们的名字来取得更多的背书。关于小白来说,发布一个新平台很困难。后来我们小有名望,就不再需求这个声明。”
在被要求廓清其声明中提到的“平台”(“我们是自筹资金并且在过来11年不断运转这个平台”)时,Coinhive答复说:“对不起,没有写得更清楚:'这个平台'确实是pr0gramm“。
也答应以经过确定pr0gramm论坛管理员的身份来找出谁在运转Coinhive。假如他们不是同一批人,那么pr0gramm管理员一定会晓得Coinhive面前的人是谁。
谁是pr0gramm的一切者?
试图找出谁在运转pr0gramm并不容易,但最终一切信息都在网上找到了。
搜集的一切数据来源于域名注册网站WHOIS,或许来自各种社交媒体网络 上pr0gramm管理员本人发布的信息。换句话说,这项调查中一切内容都是pr0gramm管理员本人放到网上的。
从pr0gramm域名开端,像其他许多与此调查相关的域名一样,最后是注册人是Matthias Moench博士。 Moench先生只是略有关联,很难说他是一个有罪的渣滓邮件发送者和凶手,本文最初一局部解释了谁是Moench先生以及他为什么会与这么多的域名所关联。他自身是个有意思而又很可怕的故事。
pr0gramm最后与一家成人网站相关联,该网站与两家十多年前在内华达州拉斯维加斯注册的公司有关系。Eroxell Limited和Dustweb Inc这两家公司都表示他们参与了某种方式的在线广告。
Eroxell、Dustweb以及几个与pr0gramm相关的网站(例如pr0mining.com,pr0mart.de,pr0shop.com)都与一个名叫Reinhard Fuerstberger的德国女子相关,该女子的域名注册记载里有电子邮件地址admin @ pr0gramm.com。 Eroxell和Dustweb也辨别与一家在西班牙注册的名为Suntainment SL的公司有关系,Fuerstberger很分明是这家西班牙公司的一切者。
正如pr0gramm网站上所述,论坛于2007年开端,作为德语留言板,源自于一个自动化的机器人,它可以索引和显示被发布到Quake(广受欢送的第一人称射击游戏)相关的在线聊天频道的图片。
随着论坛用户群的增长,网站缓存图片的多样性也在增长,pr0gramm开端提供付费的所谓“pr0mium”帐户,允许用户检查“办公室不宜”图片并在讨论区宣布评论。当pr0gramm去年7月初次推出pr0miner(Coinhive的前身)时,它约请pr0gramm会员在他们本人的网站上试用这些代码,并且提供pr0mium积分作为奖励。
pr0gramm上的一个关于pr0miner的帖子,后来被称为Coinhive的前身。
火卫一和火卫二
Pr0gramm于2007年底由来自德国的Quake喜好者Dominic Szablewski发起,他是一位电脑专家,在pr0gramm上以他的网名“cha0s”而出名。
在pr0gramm开端的时分,Szbalewski运转了一个名为chaosquake.de的Quake讨论板,以及一个团体博客phoboslab.org。发现这一点的缘由是phoboslab和pr0gramm曾共享过相反的Google Analytics跟踪代码(UA-571256)。
Szablewski经过电子邮件表示,他不想就这件事做评论,不过他提到几年前就将pr0gramm卖给了一个不泄漏身份的人。
多位pr0gramm老会员指出,由于cha0s作为管理员分开,该论坛曾经具有民粹主义极右政治倾向。Fuerstberger 先生在各种社交媒体网站上称本人是“政治上不正确的巴伐利亚别离主义者”。更重要的是,pr0gramm上有少量充溢仇恨心情的针对某些的种族或宗教集团的帖子。
Fuerstberger回来电子邮件说,他不晓得pr0gramm被用来分发Coinhive。
“我可以向你保证,我在本周早些时分才第一次听说Coinhive,”他说。 “我保证Suntainment公司与它有关。我与Pr0gram也没有任何关系。这是我的协作同伴干的。当发现我的公司被应用时,我感到十分震惊。”
上面是“思想导图”,用于跟踪本调查中提到的各种名字、电子邮件和网站之间的关系。
用于跟踪和梳理对pr0gramm和Coinhive的调查,这张思想导图是用Mindnode Pro for Mac创立的。
GAMB
经过查询WHOIS上关于pr0gramm (Eroxell Ltd)相关联的美国公司,Fuerstberger的协作同伴,目前是pr0gramm管理员的身份,他的昵称叫“Gamb”。在Eroxell注册的许多域名中,有一个是deimoslab .com,它在已经是一个销售电子产品的网站。从2010年的网站正本可以看出,deimoslab的一切者也运用了Gamb这个昵称。Deimos和Phobos是火星这两颗卫星的名字。他们还提到电脑游戏“Doom”中的第四和第五级别的称号。另外,它们是在游戏Quake 2中两艘宇宙飞船的称号。
2010年Deimoslab.com截图(感激archive.org)显示用户“Gamb”掌管该网站。
在pr0gramm.com临时运用的Internet地址上停止DNS查询,deimoslab.com曾与其他几个域共享效劳器,其中包括phpeditor.de。依据对phpeditor.de的历史WHOIS查询,该域名最后由德国Gross-Gerau的Andre Krumb注册。
当发现这种关系时,依然找不就任何Krumb关联到“gamb”的信息,这是pr0gramm以后管理员的昵称。直到在网上搜索包括“ “Gamb”的论坛帐户。
Krumb强调一些令人无法置信的事情:Coinhive只是一团体的效果,那团体叫int13h。
“Coinhive与Suntainment或Suntainment的永世雇员毫有关系,”Krumb在一封电子邮件中说,回绝泄漏有关int13h的任何信息。 “这也不是你正在寻觅的人,只是一个有时分为Suntainment任务的自在职业者。”
在收到Fuerstberger先生和Krumb先生的电子邮件回复后,很快就收到了Coinhive的电子邮件。
“一些参与pr0gramm的人联络了我们,说他们正在被你讹诈,”Coinhive写道。 “他们希望匿名运转pr0gramm,由于管理员和版主以前都曾被他人骚扰。我置信你应该与此相关。你将他们推到绝境,这当然正是你想要的效果。我们不得不赞赏你查找信息的效率,但我们以为这样做的战略是可疑的。”
“我们想再次说清楚,Coinhive目前的形态与pr0gramm或其一切者有关,”Coinhive说。“我们在pr0gramm上测试了矿机的'玩具施行',由于他们的社区对这样的事情比拟宽容。 仅此而已。”
3月22日,Coinhive的人又发来一封跟进的电子邮件,他们征询了法律团队,决议在他们的网站上添加一些联络信息。
Coinhive于3月22日在其网站上提供的“法律信息”。
此外,coinhive.com / legal这个网页上列出了德国Kaiserlautern的一家名为Badges2Go UG的公司。业务记载显示Badges2Go是一家无限责任公司,于2017年4月成立,由法兰克福的Sylvia Klein管理。Klein的linkedIn简介显示,她是德国几个组织的首席执行官,其中一个叫做Blockchain Future。
“我成立了Badges2Go,孵化有开展前景的网页端和挪动使用,”Klein说。 “Coinhive就是其中之一。 如今我们在评价潜力并修复后续规划,使效劳更为专业化。”
Matthias Moench博士的奇特故事
基于下面思想导图中分享的网站注册数据,还有一件佚事需求分享。如前所述,读者可以看到许多与pr0gramm论坛管理员关联的域名最后是注册给名为Dr. Matthias Moench的。
于2018年1月初次开端这项调查时,以为Moench先生是用来欲盖弥彰的假名。 但现实是,Moench博士的确是一个真正的人,而且是一个十分可怕的人。
据德国日报“Die Welt”2014年的一篇令人心寒的报道,Moench是德国一个富有的企业家的儿子,他在1988年19岁时因雇一名土耳其女子谋杀他的父母而被定罪。Die Welt说: Moench雇用的凶手用一把砍刀去砍死父母和宠物狮子狗。据报道,后来Moench解释了他的行为,称他很不快乐他的父母为他的18岁生日给他买了一辆二手车,而不是他不断想要的法拉利。
1989 年的 Matthias Moench 博士, 图 片来自 Welt.de
Moench博士最终被定罪并背叛在青少年拘留所关押九年,但他只服刑五年。 释放后,Moench宣称他找到了宗教并希望成为一名牧师。
但是后来,Moench保持了当牧师的想法,决议成为渣滓邮件发送者。多年来,他不断在群发医治勃起功用妨碍药物的渣滓邮件,据报道他的各种渣滓邮件生意至多赚取了2150万欧元。
Moench先生再次被捕并承受审讯。2015年,他和其他几名共同原告被判有欺诈和与毒品有关的罪名。Moench被判处六年有期徒刑。依据Moench童年时代Die Welt故事的作者Lars-Marten Nagel的说法,德国检察官估计Moench将在往年晚些时分从监狱释放。
将pr0gramm管理员与Moench先生联络起来能够很有吸引力,但这里简直没有任何联络。来自2006年的一篇令人难以相信的详细博客文章试图确定Matthias Moench的身份,他被称为这么多域名的原始注册人(他们的数量在数以万计),他发现Moench自己在几个互联网论坛上表示,他的姓名和在德国和捷克邮寄地址可以被任何想要隐藏本人身份的渣滓邮件发送者或骗子自在运用。显然,很多人都承受了他的好意。
在这个报道发布后不久,phoboslab.org,pr0gramm.com的开创人Dominic Szablewski的团体博客发布了更新。Szablewski宣称担任启动Coinhive。至于如今谁在运转它,是这样的:
“2007年我为本人的小圈子开发了一个复杂的图像讨论版,就是pr0gramm。多年来,这个讨论版曾经开展壮大。当2015年的一些巨头找出来谁是pr0gramm的运营者,我收到了各种死亡要挟。 我决议加入并出售pr0gramm。我依然在幕后展开pr0gramm任务,并不时协助处理技术成绩,但完全保持了控制权。”
“2007年我为本人的小圈子开发了一个复杂的图像讨论版,就是pr0gramm。多年来,这个讨论版曾经开展壮大。当2015年的一些善人找出来谁是pr0gramm的运营者,我收到了各种死亡要挟。 我决议加入并出售pr0gramm。我依然在幕后展开pr0gramm任务,并不时协助处理技术成绩,但保持了控制权。”
“几个月后,我启动了Coinhive,并很快认识到我无法独自做到这一点。所以我寻觅一个可以接收的人。”
“我找到一家公司对成立新公司感兴味。他们曾经接收了Coinhive,如今正在停止彻底的变革。”
AD: 进击•交融 猎云网&AI星球2018年度人工智能产业峰会 将于4月17号在深圳大中华希尔顿酒店举行。这里有最深度的考虑,最有价值的投资建议,以及最酷的黑科技展现,精彩不容错过。