11 August 2014

Хакеры воровали криптовалюту подменой BGP-анонсов mining pool'ов

Information Security
image

По информации от команды Dell SecureWorks Counter Threat Unit, неизвестные лица анонсировали IP-адреса крупных mining pool'ов криптовалют Bitcoin, Dogecoin, HoboNickels и Worldcoin в течение 4 месяцев: с 3 февраля по 12 мая 2014 года. Провернуть такое было возможно из-за отсутствия как проверки подлинности сервера, так и шифрования в протоколе Stratum, который используется большинством пулов.

Первые ноты подозрительной активности заметил пользователь caution с форума bitcointalk 22 марта. Его майнеры подключились к неизвестному IP-адресу и, по какой-то причине, перестали майнить.

Злоумышленники анонсировали IP-адреса пулов только на короткое время, вероятно, всего в течение нескольких минут или секунд, завершали TCP-соединение, всем переподключившимся майнерам отправляли команду reconnect с указанием адреса своего mining pool, затем убирали анонс. Всего им удалось заполучить около $83000 за все 4 месяца.

BGP-анонсы производились с одного ISP в Канаде. Через 3 дня после оповещения ISP, подмены прекратились. На настоящий момент неизвестно, кто их совершал. Есть три версии:
  • Работник ISP
  • Уволенный работник ISP, у которого остался доступ на маршрутизаторы
  • Хакер

Более подробная информация на сайте Dell SecureWorks.
Tags:bgpbgp hijackingmining pool
Hubs: Information Security
+40
20.6k 43
Comments 18
Top of the last 24 hours