7月25日,比特幣價格突破8500美元大關,其價格在7月以來已經上漲超40%。虛擬貨幣繁榮背后,黑色數字產業鏈卻已經悄然將方向轉向“挖礦”(利用電腦硬件計算出虛擬貨幣的位置并獲取該貨幣的過程)領域。
7月初,山東省青州警方破獲了一起制造木馬病毒感染普通電腦,并利這些電腦閑置的CPU資源“挖礦”的案件。涉案的大連某高新技術企業控制了包含389萬臺電腦的“僵尸網絡”(指被木馬感染,可由遠程控制的電腦網絡),涉案案值超1500萬元。
新京報記者采訪了相關辦案民警、電腦安全專家等,揭露黑色數字產業鏈發展的上下游,以及黑產如何圍繞互聯網流量進行變現。
吃雞“外掛”暗藏“挖礦”木馬
“我們是按‘非法控制他人計算機’罪名立案的。”山東省青州市公安局的李警官介紹,該案犯罪嫌疑人楊某,仿冒“愛奇藝”編寫“酷藝VIP影視”,還提供吃雞游戲“外掛”程序(游戲作弊軟件)供網民免費使用,但楊某在程序中暗置木馬程序“挖礦”,專門挖HSR虛擬貨幣。至案發,楊某已挖取了8551.9枚HSR幣(最高252元/枚,目前42元/枚)。
該案中,楊某將帶有木馬病毒的軟件大規模擴散,是由于其“天下網吧論壇”版主的身份,以及大連晟平網絡科技有限公司(下稱晟平網絡)的推廣。晟平網絡表面業務是廣告營銷、軟件推廣,背地里卻在其增值客戶端和推廣的軟件中植入“tlMiner”挖礦木馬。經過該企業及其3500個代理商的推廣,挖礦木馬感染了超100萬臺電腦。
據李警官介紹,晟平網絡共控制了389萬臺電腦的“僵尸網絡”,經濟收益超1500萬。其中,利用高性能計算機挖取DGB幣(極特幣)、DCR幣(德賽幣)、SC(云產幣)幣2600余萬枚;其他200余萬臺進行廣告彈窗、應用下載業務。而單獨售賣“外掛”,單月單人僅能獲益不到百元。
電腦為別人“挖礦”,用戶卻不知情
據警方信息,該案的線索來自于網絡安全大數據監控。2017年年底,騰訊電腦管家(PC端)及安全大腦(云端)發現“tlMiner”木馬在一天之內感染超20萬臺電腦,并且具有暗中挖礦、以正常應用程序帶木馬等行為。警方經過近半年時間的偵破,上述案件告破。
騰訊電腦管家高級安全專家李鐵軍介紹,相較過去的木馬程序,挖礦木馬不會改動用戶首頁、隱藏文件,甚至具有選擇性占用用戶內存的特點,不易被感染者發現;此類病毒直接挖礦改變了數字黑產的變現方式,無需再與下游企業結算,可直接賣幣獲利。
雖然目前該木馬感染用戶計算機后,只占用閑置CPU資源挖礦,但與其他木馬類似,服務器可對被感染計算機做任何事情,比如調用攝像頭、查看重要文件等。同時,挖礦對電腦硬件配置要求比較高,主機經常長期高負荷運轉,顯卡、主板、內存等硬件會提前報廢,對電腦的損害大。
此外,此類挖礦木馬除了植入在游戲外掛中,還會植入在號稱可以看視頻網站付費內容的“仿冒”播放器中。以上軟件在運行時,都會提醒用戶“暫時關閉安全軟件、防火墻等”,讓用戶電腦處于無防護狀態。
“挖礦”木馬成黑產更直接變現手段
“現在,市面上的木馬病毒一般只做兩種事情,一種是挖礦,一種是勒索”,李鐵軍告訴新京報記者。去年大面積爆發的勒索病毒就是木馬病毒,只是其在入侵用戶計算機后,通過檢測用戶信息,了解用戶身份,進而對高凈值人群進行勒索。今年以來,勒索病毒大面積爆發減少,但精準性增強,針對政府、醫院及企業高凈值人群的案件增多。最近的新趨勢是,以木馬控制“僵尸網絡”給直播、短視頻網紅點贊、刷評論、彈幕等,但并非主流趨勢。
業內專家介紹,以前木馬的制造者,會通過控制“僵尸網絡”打Ddos攻擊(分布式拒絕服務攻擊,可短時間致使某網站癱瘓)、運行彈窗廣告,以及暗中下載應用軟件等,目前這些行為都在減少。這反映出木馬黑產背后的產業鏈正在變短。
從變現角度講,原來木馬黑產需要通過各種手段入侵電腦,控制“僵尸網絡”,然后轉讓給其他控制者,打Ddos攻擊獲利;或者給廣告主做彈窗廣告,給應用程序做非法下載,再由下游公司進行結算,這些都是間接變現。而挖礦木馬的出現,讓黑產上游可以直接將挖到的虛擬幣存入錢包,直接交易變現。
“木馬行業的黑產都是圍繞流量變現展開的,互聯網產業往哪個方向走,黑色產業就往哪個方向走,基本上是一一對應的關系”,李鐵軍告訴新京報記者,早期是廣告,因為早期互聯網軟件都是利用廣告彈窗的方式來變現,黑產就控制別人的機器來彈廣告。后來軟件分發成為一個趨勢,黑產就在用戶不知情的情況下裝很多軟件;直到現在的挖礦,改變了整個變現形式,掙錢特別直接。“鎖定主頁、彈窗廣告、下載軟件等行為變少了,因為都在挖礦。”(記者 白金蕾 實習生 趙煒)
