雖然中國主要的挖礦企業、礦工都已經移出中國了,但是依然有很多「散戶」在偷偷的挖礦,而中國政府現在開始用IP來追查這些散戶礦工,特別是在公家機關、學校、實驗室的礦工也紛紛被揪出來。
今年7月,中國國家網路應急中心浙江分中心在一次抽樣監測中發現,浙江有4699個IP地址有挖礦行為,其中183個IP地址涉及78家國有單位。
近期,中國浙江省政府單位組成聯合檢查組,採取不提前通知、不打招呼、不聽匯報、直查機房、循線倒查「礦機」等方式,突擊抽查了全省7個地區20家國有單位的36個IP地址,公布了一批利用公共資源參與虛擬貨幣挖礦與交易的違法行為。
用IP抓挖礦的不確定性
雖然透過IP可以鎖定相關單位,但仍然存在三個不確定性:
- IP地址可以對應到某個具體單位,但無法對應到某台具體電腦,究竟是利用單位伺服器挖礦,還是自帶礦機挖礦?
- 一個IP地址背後是一台礦機,還是一個「礦場」,實際有多少礦機、挖了多少幣、持續時間多長?
- 該IP地址是主動在挖礦,還是被動執行挖礦程式,還是從事科研工作?
考慮這些幕後的礦工可能會將挖礦痕跡隱藏,單位內部人員自帶礦機挖礦容易銷毀、轉移等因素,因此官方認為如果交由各單位自查可能會提前洩露消息,導致礦機被轉移或記錄被銷毀,從而難以確定目標對象並固定證據。
網管主管本身就是礦工
因此聯合檢查組採取不提前通知、不打招呼、不聽匯報、直查機房等方式開展檢查,並透過詢問談話、調閱台帳、現場取證等方式固定證據,防止人為刪除網路安全日誌或轉移礦機。
其中,也有本身掌管單位網路的人自己就是礦工的案例,如浙江某大學下屬學院信息化辦公室副主任黃某某,在利用學院電腦進行虛擬貨幣挖礦後,故意刪除伺服器日誌資訊。檢查組結合網路日誌和密碼修改記錄,鎖定操作人正是黃某某本人。
現場核查發現,20家單位有14個單位屬主動挖礦。挖礦人員主要是熟悉網路、電腦技術的網管或相關技術人員。如浙江某大學共查實有6個IP地址參與挖礦行為,均為利用實驗室公用電腦或個人電腦,直接運行挖礦程式軟體主動挖礦。
此外,也有多家單位因中木馬病毒或使用弱口令密碼,導致單位公用電腦被遠端控制,被動執行挖礦程式。
學校單位挖礦案例不少
另外一個案例是浙江省溫州市某職業技術學院,臨聘人員金某某,悄無聲息利用學校場所、電力、網路進行虛擬貨幣挖礦,4個月時間共挖出2.4個以太幣,獲利約4.3萬元人民幣。他在一間整日整夜開著空調降溫的實驗室裡頭,放了共裝有32張顯卡的4台礦機,然後將礦機放在實驗室牆角靠窗處,並用櫃子遮擋。
金某某自以為設計了一個隱蔽而精巧的局,卻在這次突擊檢查中露了餡。檢查人員根據IP地址找到這間實驗室,順著網路線移開櫃子,發現了這一排快速運轉的礦機。
另外,還有的案例是公家單位,紹興市上虞區職業教育中心機房管理員丁某某夥同勞務派遣人員何某某,利用辦公電腦並購置3台礦機,放置在資訊大樓內,從事挖取渡鴉幣活動累計111天,獲利1.5萬元人民幣。事發後丁某某受到黨內警告處分並扣除績效考核獎3個月;何某某被解聘。
湖州市德清縣自然資源和規劃局下屬事業單位地理信息中心副主任虞某及工作人員吳某某,兩人利用辦公室的電腦挖礦,分別挖得以太幣0.03枚、0.76枚(查獲時該幣價值為每枚22560元人民幣),事發後虞某受到批評教育,責令作出檢查,並扣除一個季度績效考核獎金,吳某某受到黨內警告處分並扣除三個季度績效考核獎金。
共有48人利用公家單位資源挖礦
根據官方報告,此次針對全省涉嫌利用公共資源挖礦的78家單位檢查結果,國有單位排查個人電腦、服務器等終端裝置500餘台,共查封礦機68台、單機260餘台,查實涉及比特幣、以太幣、萊特幣、門羅幣、喜鵲幣等12種虛擬貨幣。
區分情形精準查。仔細甄別主動型、被動型、科研型挖礦情形,分類進行處置。全省共有34家國有單位有主動挖礦情形,32家單位主機或網路裝置因感染木馬而被動挖礦,查處利用公共資源主動挖礦48人,其中黨政機關、國有企事業單位工作人員21人,給予黨紀政務處分7人,約談、批評教育相關責任人70餘人次。對感染木馬病毒被動挖礦的單位,督促嚴格落實網路安全。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!