Как сотрудники добывают криптовалюту на рабочих местах

Это новая и очень серьезная проблема для работодателей
Варвара Гранкова
Варвара Гранкова

В середине декабря правоохранительные органы задержали системного администратора Центра управления воздушным движением в подмосковном Внукове. Он на рабочем месте собрал ферму для майнинга криптовалюты и подключил ее к электросети, сообщал Telegram-канал Mash. Подозрения руководства центра вызвали скачки напряжения в сети, и оно обратилось в ФСБ. Как пишет Mash, решается вопрос об уголовном деле – по факту несанкционированного использования электрической энергии. Представитель государственной Корпорации по организации воздушного движения в России, в которую входит Центр управления воздушным движением во Внукове, от комментариев отказался.

За 2017 г. биткойн подорожал примерно в 12 раз, а все криптовалюты мира в совокупности (их более 1300) – в 20 раз. Велик соблазн использовать корпоративные компьютеры и электричество для добычи виртуальных монет.

Случаев злоупотреблений сотрудников становится все больше, отмечает антивирусный эксперт «Лаборатории Касперского» Алексей Маланов. По его оценкам, каждый десятый системный администратор в России в 2018 г. будет подвергаться соблазну организовать добычу криптовалют на работе.

По мнению Андрея Янкина, заместителя директора Центра информационной безопасности компании «Инфосистемы джет», наиболее велик риск злоупотреблений персонала в компаниях, имеющих большие вычислительные мощности и плохо их контролирующих. Более других уязвим госсектор, государственные и окологосударственные компании, у которых богатые центры обработки данных (ЦОД) с тысячами серверов и некомпетентными администраторами. «Ведомости» составили типы злоупотреблений.

Как считают

Майнинг криптовалюты – это расчет блоков данных, представляющих собой журнал последних операций с криптовалютой. Нужно «свернуть» блок в число – хеш. Добытчики биткойнов должны рассчитывать 256-битный хеш каждые 10 минут. Трудность в том, что он должен содержать 17 стартовых нулей и, чтобы найти значение с таким числом нулей, нужно повторять расчеты огромное количество раз.

Программа майнинга перебирает числовые комбинации в специальном 4-байтном поле заголовка блока и пересчитывает хеш, пока не получит искомое число. Затем оно записывается в заголовок блока – расчеты закончены, и все майнеры биткойнов получают уведомление, что блок успешно вычислен. Добытчик, справившийся с задачей, получает 12,5 биткойна плюс 2 монеты комиссии за транзакцию. При текущем курсе $14 700 за монету добыча даст $213 000.

Для майнинга собирается ферма – вычислительный комплекс из видеокарт или специальных процессоров (ASIC). «256 простеньких микропроцессоров в современной видеокарте эффективнее вычисляют хеш-функцию, чем четыре центральных процессора в сервере», – говорит председатель совета директоров SearchInform Лев Матвеев. Ферма потребляет 1,6 кВт ч (около 40 кВт за сутки) – примерно столько же, сколько электрический чайник, который кипятит воду круглые сутки, говорит директор Центра финансовых технологий фонда «Сколково» Павел Новиков. Вентиляторы фермы производят много шума, комплекс сильно нагревается, поэтому его ставят в помещениях с кондиционированием – в серверных комнатах или на складах, указывает эксперт.

В подвалах совета министров

Два сотрудника аппарата совета министров Крыма два месяца добывали биткойны в подвале правительства Крыма, прежде чем в марте 2017 г. об этом узнали служба охраны и ФСБ, сообщил руководитель антикоррупционного комитета Крыма Александр Акшатин. Оба майнера работали в IT-отделе совета министров: заведующим отделом аппаратного обеспечения и технической поддержки управления IT и начальником этого управления. По словам Акшатина, они запустили в подвале более десятка компьютеров, сейчас оба уволены.

Мощная ферма может красть электричества на 3 млн руб. в месяц, подсчитал Маланов, но это никому не заметно.

Что творится в серверных комнатах, никто из неспециалистов не знает, говорит Матвеев, и, если ферма небольшая, никто в большой компании ее не заметит: работает множество компьютеров, кондиционеры, чайники и проч. Серверы стоят в стойках в отдельных комнатах, управляются удаленно, людей нет.

Обычно злоупотребления вскрываются из-за тщеславия системного администратора, который начинает хвастаться высокими заработками, или охранник при обходе помещений обнаруживает ферму, говорит Маланов.

По словам адвоката Павла Домкина, за кражу электроэнергии майнеров можно привлечь к ответственности по статье 165 УК – причинение имущественного ущерба в крупном размере (от 250 000 руб.) путем обмана или злоупотребления доверием при отсутствии признаков хищения. Но очень трудно доказать, что злоумышленники потребили электричества более чем на 250 000 руб., говорит адвокат.

Наказание зависит от тяжести содеянного, отмечает Маланов: выговор, предупреждение – либо майнеров просят поделиться заработком. Увольняют их только в вопиющих случаях.

Армия серверов

Гораздо большую угрозу для компаний представляет майнинг на корпоративных серверах или рабочих станциях. Сотрудник должен иметь доступ к другим компьютерам компании, поэтому злоумышленник – старший системный администратор или группа сисадминов. Обычно офисные компьютеры загружены на 5–10%, пользователи работают с Word, корпоративной CRM-системой. Можно увеличить загрузку вдвое, никто из пользователей не заметит, говорит Матвеев.

Опасность майнинга на серверах – в том, что он снижает быстродействие сети, и это становится заметно даже по скорости открытия браузеров, говорит Матвеев, потребляет много электричества, а сисадмины начинают пренебрегать прямыми обязанностями, увлеченные добычей криптовалюты.

Янкин из «Инфосистем джет» указывает, что приложения для добычи криптовалют могут нарушить работу критически важных корпоративных систем и именно это – главная угроза.

$137 000

в месяц могут заработать злоумышленники, если организуют майнинг криптовалюты Monero на 10 000 корпоративных компьютеров

Новиков считает, что добывать биткойны или эфириумы на процессорах х86 невыгодно – системный администратор может заработать 1000 руб. в день на обед, не более.

Но некоторым криптовалютам достаточно обычного компьютера, например Monero, указывает Маланов. И речь идет уже не о 1000 руб. на обед сисадмину: если 10 пользователей на компьютерах с процессором Intel i7 добывают монеты месяц без перерыва, они заработают треть монеты Monero, или $137 в месяц. Если вести майнинг на 10 000 компьютеров, можно заработать $137 000 в месяц по текущему курсу Monero. Но сисадмину скорее всего придется договариваться с охраной или главным электриком, говорит Маланов.

Янкин отмечает, что системные администраторы годами могут добывать криптовалюту, тогда как служба безопасности следит лишь за тем, чтобы серверы не вынесли с территории. И обнаруживают злоумышленников опять же случайно. Например, компания проводит инвентаризацию программного обеспечения, отчет попадает не к системному администратору, а к другому специалисту – и сисадмин погорает, говорит эксперт.

Если майнинг привел к порче оборудования или утрате данных на корпоративных серверах, можно привлечь нарушителя к ответственности по статье 274 Уголовного кодекса – нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, повлекшее уничтожение либо копирование информации с крупным ущербом. Она предусматривает лишение свободы на срок до пяти лет. Но адвокат не знает ни одного случая осуждения сотрудника за майнинг криптовалют.

Старатели поневоле

Но самый серьезный ущерб компаниям причиняют не столько недобросовестные сотрудники, добывающие валюту, сколько вредоносное программное обеспечение, использующее ресурсы компании без ее ведома для майнинга или ворующее данные. 99% ущерба компаниям причиняет вредоносное программное обеспечение и только 1% – сотрудники, говорит Янкин.

$213 000

вознаграждения может получить человек, который успешно рассчитает блок при добыче биткойнов

14 декабря 2017 г. в Москве состоялось заседание экспертного совета «Транснефти» по безопасности. Вице-президент компании Владимир Рушайло сообщил, что «Транснефть» пресекла попытки использования служебного оборудования для генерации криптовалют. Представитель «Транснефти» заявил «Ведомостям», что сотрудники не имеют к этому никакого отношения, но не ответил на вопрос, были ли эти попытки следствием вирусного заражения.

Известен случай, когда злоумышленники поставили программу скрытого майнинга на все компьютеры организации, говорит Маланов. Янкин приводит пример из недавней практики, когда крупный оператор ЦОДов заказал аудит информационной безопасности и выяснил, что 1500 серверов ЦОДов были заражены вирусом, который запустил на серверах программы скрытого майнинга криптовалют.

Представители компании «М.видео» рассказали, что для защиты от вредоносного программного обеспечения «М.видео» регулярно контролирует информационные системы, выявляет нестандартные для обычных бизнес-процессов всплески активности и их причины, а также регулярно обновляет системы защиты.

Обход владений

Представители крупнейших компаний – «Роснефти», МТС, «Вымпелкома», «М.видео», «Россетей», ФСК ЕЭС, Сбербанка и ВТБ – ответили «Ведомостям», что у них не было случаев добычи криптовалют недобросовестными сотрудниками. Компания «Россети» рассказала, что занимается профилактикой таких злоупотреблений: проводит плановые проверки для выявления незаконного размещения оборудования и подключения к сетям, а также использования программного обеспечения для майнинга криптовалют на рабочих станциях и серверах. Служба безопасности систематически осматривает помещения, пригодные для оборудования для майнинга, и проводит инвентаризацию компьютеров в ЦОДах. Кроме того, специалисты определяют действующие адреса пулов для совместного майнинга криптовалют – с целью превентивной блокировки сетевого трафика.

Представители ФСК ЕЭС также сообщили, что компания проводит регулярные проверки помещений и контролирует расход электроэнергии на нужды компании.

Янкин говорит, что основные проблемы создает бесконтрольность старшего системного администратора, необходимо разделение обязанностей и разграничение прав доступа.

Маланов же указывает, что выявить майнинг можно по перепадам энергопотребления: сразу после уведомления о расчете очередного блока компьютеры замирают, ожидая нового задания – на расчет следующего блока.

Что нужно делать руководителям компании, чтобы пресечь или предотвратить майнинг? Надо найти главного электрика и узнать, не было ли аномалий в энергопотреблении и не вырос ли расход электроэнергии без видимых причин, советует Маланов. Затем нужно вызвать главного системного администратора и спросить, что он предпринимает для выявления случаев майнинга. Потом следует вызвать шефа службы безопасности или службы информационной безопасности и поинтересоваться, какие меры они принимают. Или же просто закрыть глаза на проблему, заключает эксперт.

Варвара Гранкова