当私人电脑正在被窃为矿机

　　钟文辉

　　2018年8月3日，全球晶圆代工龙头台积电（TSM.US）受到电脑病毒感染，影响台湾厂区部分电脑系统及厂房机台，几个月前，特斯拉（TSLA.US）的云服务平台也曾被恶意软件攻击。无论是占据全球产业关键地位的巨头公司，还是个人电脑，都不可避免地陷入黑客攻击的噩梦中。更为不幸的是，继勒索病毒集中出现后，一种新的攻击形式正在涌现，即加密货币挖矿黑客。

　　加密货币挖矿是一个发现比特币、门罗币以及以太坊和莱特币等其他加密数字货币的过程，所需的计算机被俗称为“矿机”。这类黑客的涌现速度非常之快，根据Symantec所发布《2018互联网安全威胁报告》的数据，过去一年里，端点计算机端检测到的挖矿恶意程序数量暴涨85倍。根据Adguard的数据统计，全球约有5亿台电脑曾被绑架挖矿。

　　攻击者

　　惊人的犯罪数据来自过去一年来比特币等各类加密货币价格激增，截至目前，比特币价格在8000美元左右，8年内翻数百倍的惊人幅度意味着巨额利益的吸引。我们发现，越来越多的黑客攻击服务器以利用该设备进行大规模挖矿。

　　无论是个人电脑还是企业服务器，当你发现自己的计算机正在变慢、散热器加速运转时，很有可能已经被黑客当作矿机。当一家企业服务器或数据中心被当作矿机，挖矿所需要的强大处理能力，会大量耗费数据中心的电力和运算能力，甚至导致其停摆。

　　在攻击方式上，黑客通过使用恶意软件来窃取其他人的电力、处理能力和空调，从而将加密货币挖矿恶意软件秘密植入到他人的网络、浏览器、咖啡店公共网络等地方。可以说不征得用户同意而悄悄摄取计算机资源。

　　根据SophosLabs最新发现，通常的攻击手段是通过可执行文件以及隐藏在网络中的脚本，也就是用户通过访问一些浏览器而感染这类恶意程序。其中对于浏览器，根据区块律动BlockBeats统计，截至今年7月9日，全网有超过3万家网站内置了挖矿代码。

　　这种操作在全球范围内越来越多，攻击者包括希望获取数字货币的个人和公司。攻击者的动力来自加密货币价格激增给挖矿行为带来的可观收益，而挖矿的过程需要极大的计算机处理能力、极好的散热条件以及付出大量电费，甚至是需要相匹配的数据中心，在高昂的挖矿成本面前，窃取他人服务器成为生财的最佳手段。

　　应对

　　我们发现，一个极端的例子是一类潜伏于网站的恶意软件CoinHive，在2017年9月首次出现的一种名叫Monero的矿工，由于用户有关加密货币话题在搜索榜单中数量激增，CoinHiveJavaScript已被嵌入到与门罗币（一种加密货币）相关的搜索中。与大多数加密货币挖矿恶意软件一样，它会安静地放在计算机上，并利用网络秘密加密，导致硬件性能显着下降。根据趋势科技发布的分析报告称，2018年1月24日，出于恶意广告活动的Coinhive矿工人数增加了近285%。目前，SophosLabs也注意到使用Coinhive脚本的网站数量也在稳步增加。

　　对于被攻击者群体，有两大重灾区。从个人电脑层面看，类似恶意程序集中出现在游戏插件领域，黑客在游戏外挂所用的插件中嵌入一个挖矿区；从企业层面看，我们发现病毒集中爆发的区域往往在电商领域，原因大多是服务器的数据侧漏，损失范围涉及用户的信用卡、个人身份证资料丢失，部分来自国外的企业领导人甚至因此破产、坐牢。

　　对于被攻击者应该如何应对？

　　对于诸如Coinhive一般在网站中托管的恶意程序，第一，用户可以检查CPU，如果笔记本有散热器，可能听到散热器加速运转，这是芯片高负荷运转所产生的热量造成；第二，采用JavaScript控制插件，以控制浏览器中入侵性的JavaScript、Flash和Java；第三，查看杀毒软件是否能够检测挖矿工具；目前，Sophos产品可以将基于浏览器的挖矿程序归类为PUA（潜在不必要应用）。第四，立即修复。

　　（钟明辉系Sophos公司中国区总经理；本报记者沈怡然采访整理）