10% mocy Elektrowni Opole

Aby ocenić koszty dodatkowego obciążenia ponoszone przez ofiarę z zarażonym komputerem, należy policzyć różnicę w zużyciu energii elektrycznej między stanem niskiego obciążenia, a maksymalnym, podczas wyliczania monet bitcoin. Komputer w stanie spoczynku pobiera ok. 1,45 kWh dziennie (0,06041 kW x 24h), przy pełnym obciążeniu 3,27 kWh na dobę (0,13625 x 24), a zatem różnica wynosi 1,82 kWh dziennie na jedną stację roboczą. Chociaż wydaje się, że to niewiele, wartości z pojedynczej stacji roboczej wskazują na dodatkowy pobór energii elektrycznej przez cały botnet. Po ekstrapolowaniu na skalę całego botnetu dodatkowe zużycie energii elektrycznej osiąga 144 MW, co daje 3458 MWh na dobę. To już są duże liczby – skumulowane dodatkowe obciążenie to ok. trzy czwarte mocy Elektrowni Halemba (200 MW) i niecałe 10% mocy Elektrowni Opole (1492 MW).

Dla pojedynczej stacji roboczej różnica w zużyciu energii (664 kWh rocznie) przekłada się na 385 zł kosztów rocznie (przy średniej stawce 0,58 zł/kWh). Dla 1,9 mln stacji z tej podziemnej sieci są to ogromne liczby.

Jeśli w Stanach Zjednoczonych 1 kWh kosztuje 0,162 USD, to dzienny koszt dla pojedynczej maszyny wyniesie 0,29 USD, co w skali botnetu przekłada się na koszty rzędu 560 tys. USD dziennie. Mimo ogromnych nakładów energetycznych cała sieć utworzy wirtualną walutę o wartości zaledwie 2 tys. USD na dobę. Jak widać, jest to mało opłacalne zajęcie, jeśli właściciel sieci musi sam zapłacić za energię elektryczną.

Przerzucenie opłat na właścicieli stacji roboczych, nieświadomych faktu, że moc obliczeniowa ich komputera służy do niecnych celów, zmienia całkowicie warunek opłacalności przedsięwzięcia. Jeśli dla przestępcy moc obliczeniowa jest „za darmo”, to uruchomienie tak rozległej podziemnej sieci staje się bardzo zyskowne. Botnet ZeroAccess powstał po to, by cyberprzestępcy zarabiali pieniądze.

Jak zamknąć taki botnet

Badania związane z analizą oprogramowania sieci ZeroAccess udowadniają, że pojedynek między cyberprzestępcami a specjalistami ds. bezpieczeństwa jeszcze nie został rozstrzygnięty. Mimo coraz bardziej wyrafinowanych narzędzi komunikacji możliwe jest odłączenie przejętych komputerów od centrum zarządzania botnetem. Obecnie Symantec pracuje razem z niektórymi operatorami telekomunikacyjnymi i organizacjami CERT w celu wymiany dodatkowych informacji. W dalszym ciągu prowadzone są działania mające na celu usunięcie złośliwego oprogramowania z zarażonych komputerów.

Przy operacjach na taką skalę niezbędna jest szybka wymiana informacji między specjalistami ds. bezpieczeństwa a organizacjami zajmującymi się odpowiedzią na incydenty informatyczne. Szybko dokonana analiza działania botnetu umożliwia podjęcie akcji mających na celu jego zamknięcie, minimalizując w ten sposób szkody, jakie podziemna sieć dokonała w komputerach końcowych użytkowników.