Хакер перенаправлял трафик 19-ти Интернет-провайдеров для кражи биткоинов

[Karpet]

Злоумышленник перехватывал поток биткоинов и других цифровых валют, и зарабатывал около $9 000 в день.

 

Исследователи подразделения безопасности SecureWorks компании Dell говорят, что они обнаружили ряд совершенных мошенником краж у пользователей Bitcoin. Злоумышленник перехватывал трафик от не менее чем 19 интернет-провайдеров, в том числе Amazon и DigitalOcean, с целью хищения криптовалюты пользователей. Хотя каждое перенаправление длилось всего около 30 секунд, злоумышленник был в состоянии выполнить атаку 22 раза. Каждое кибернападение предоставляло мошеннику контроль над электронным кошельком жертвы.

Для генерации биткоинов злоумышленник скомпрометировал пулы. В свою очередь, участники пулов продолжали отдавать часть производительности скоих компьютеров на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые им доходы доставались хакеру. Техника перенаправления обманывала участников для того, чтобы продолжать искать блок криптографических алгоритмов Bitcoin, позволяя хакеру сохранить доходы. На пике своей деятельности, согласно подсчетам исследователей, хакер перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin, и зарабатывал около $9 000 в день.

Исследователи из Dell считают, что мошенник применил технику, называемую протокол BGP, в котором использован "протокол граничного шлюза", а также инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета. Предполагается, что хакер воспользовался учетной записью работника канадского интернет-провайдера, чтобы периодически транслировать поддельную команду, которая перенаправляет трафик от других провайдеров, начиная с февраля и до конца мая этого года.

 

Источник: securitylab.ru

Edited 11 Aug 2014, 13:24 by Karpet

[Lion74]

...как то..корявенько эти журналисты описали сие действо.. "перехватывал поток биткоинов" :D

Edited 8 Aug 2014, 12:49 by Lion74

[Tomcat_MkII]

Для генерации биткоинов злоумышленник скомпрометировал пулы. В свою очередь, участники пулов продолжали отдавать часть производительности скоих компьютеров на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые им доходы доставались хакеру. Техника перенаправления обманывала участников для того, чтобы продолжать искать блок криптографических алгоритмов Bitcoin, позволяя хакеру сохранить доходы. На пике своей деятельности, согласно подсчетам исследователей, хакер перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin, и зарабатывал около $9 000 в день.

 

Только мне кажется, что аффтар не понимает, о чем пишет? :o

Он хочет сказать, что мегахацкер взломал кучу пулов, перенаправлял шары майнеров на свой пул, причем так, что никто ничего не заметил за полгода? Чисто попутно он взломал сеть канадского провайдера и переписал таблицы маршрутизации, и опять никто ничего не понял...

При чем тут "контроль над электронным кошельком жертвы" и каким образом это связано с пулами, непонятно. Майнинг на домашнем компьютере с кошельком уже давно приносит 3.5 копейки в неделю.

И все это за каких-то 9000$ в день.... такому человеку ЦРУ и АНБ с ходу дцать миллионов отвалят :D

Edited 8 Aug 2014, 12:54 by Tomcat_MkII

[temrus63]

.

Edited 17 Jan 2017, 14:02 by temrus63

[tvv]

Только мне кажется, что аффтар не понимает, о чем пишет? :o

Он хочет сказать, что мегахацкер взломал кучу пулов, перенаправлял шары майнеров на свой пул, причем так, что никто ничего не заметил за полгода? Чисто попутно он взломал сеть канадского провайдера и переписал таблицы маршрутизации, и опять никто ничего не понял...

При чем тут "контроль над электронным кошельком жертвы" и каким образом это связано с пулами, непонятно. Майнинг на домашнем компьютере с кошельком уже давно приносит 3.5 копейки в неделю.

И все это за каких-то 9000$ в день.... такому человеку ЦРУ и АНБ с ходу дцать миллионов отвалят :D

 

 

написано конечно криво, вот тока не говорите что не поняли об чем реч ;)

 

И майнинг дает в сутки 25*6*24 * 590 = 2.124 млн $ в сутки.   Если спереть всего 1% - это 20000$ в сутки.

 

Причем основные мощности сосредоточены всего на нескольких крупнейших пулах - достаточно переключить траффик с этих узлов на свой пул, как все эти мировые мощности майнеров будут работать на него...

 

 

PS  можно подумать что АНБ  про RFC 4271 не знает и не пользуется этим...

А вот знают ли про него наши провайдеры и админы - бооольшой вопрос - по кр мере я не видел не одного админа, кто знаком с его деталями, а у меня много знакомых программистов и админов...

Вот и догадайтесь теперь кто админит российские сети и почему все работает.

[br0nevik]

Два года назад мне камрад рассказывал, что путем MIM-атаки перехватить функцию getwork не составит вообще никакого труда, так как даже элементарного шифрования и защиты там нет. Но биток стоил 150 рублей и перспективы особой не было. Но индустрия майнинга сейчас десятки миллионов, а шифрования нет по-прежнему. То есть вычисляем, что соседний ангар доверху набит асиками, любым способом подключаемся к его сети, подменяем вызовы по порту 8233 и вся эта орава пытается генерить блоки не пулу, а нам. Точно так же можно подключиться к сети крупного пула, что видимо и описывается в первом посте. Хотя этот бред может означать и увод ДНС.

 

В общем, getwork, а лучше и вообще весь bitcoin-rpc надо шифровать на уровне протокола.

[tvv]

А лучше не шифровать - хакеры и админы провайдеров тоже кушать хотят ;))

[Tomcat_MkII]

 

 

написано конечно криво, вот тока не говорите что не поняли об чем реч ;) И майнинг дает в сутки 25*6*24 * 590 = 2.124 млн $ в сутки. Если спереть всего 1% - это 20000$ в сутки.

При подмене DNS (или любой другой подмене хоста) будет перенаправляться всё, а не 1%

Нет, до сих пор не понял, как можно спереть 1% Человек, который это писал, не понимает, как работает майнинг. Шары оплачивает не вселенский разум, а тот пул, который выдавал задания, причем из чистой благотворительности   Ведь если присланная шара не может собрать блок, она кошельком тут же выкидывается в /dev/null, учет ведет только stratum-сервер и только для оплаты майнеров, самому пулу от "мусорных" шар никакой пользы, кроме вреда. И чисто технически другой кошелек (т.е. хацкера) ими воспользоваться не может, даже если шара будет "блоковая", то есть будет превышать текущую сложность.

Именно поэтому stratum-трафик не шифруется и пароли для воркеров ставятся от балды - ни для кого, кроме конкретного пула и его майнеров он никакой ценности не представляет, хоть обперехватывайся.

 

 

 

Два года назад мне камрад рассказывал, что путем MIM-атаки перехватить функцию getwork не составит вообще никакого труда, так как даже элементарного шифрования и защиты там нет.

Потому и нет, что она нужна, как собаке запасное колесо... :P

[ЯzzzЪ]

вот зачем так категорично

"зачем, как, не нужно, не возможно"

это вам может быть не нужно а вот в параллельной вселенной (из которой похоже и взят материал для статьи) это даже очень нужно!!!   так то !!!

Edited 11 Aug 2014, 12:19 by ЯzzzЪ

[energY_vortex]

 

Исследователи из Dell считают, что мошенник применил технику, называемую протокол BGP, в котором использован "протокол граничного шлюза", а также инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета.

 

Источник: securitylab.ru

 

Автор вообще дол***еб конченый какойто. Что еще за дебилизм какая еще техника BGP? BGP это и есть протокол пограничного шлюза, вообщето.

[Karpet]

secureworks.com

 

Не понял как потом майнинг продолжался стока времени что бы никто не замечал?

 

добавлено

Судя по IP адресам это был провайдер ovh.com

Edited 11 Aug 2014, 13:45 by Karpet

[Gooogle]

А как он получал логины и пароли? Полный перехват трафика? Сколько на это нужно ресурсов....

[jaskies]

А помоему дело было так: Вы купили АСИК который выдает 100500 Гигахешей и снабжен малинкой.... 

Вы подключаете его на мультипул и Асик копает вы довольны... Тут появляется хакер он атакует пул скомпрометировав его DNS кэш, далее хакер создает свой собственный пул присвоив ему какое нибуть DNS имя на пример: yadtjgs.williamhillsportsonline.com (вы получаете IP адрес хакерского пула, после некоторого времени подключение сбрасывается и вы обратно попадаете на родной пул), и вот Ваш Асик периодически копает на стороне решения уходят в пул хакера! В статистике на сайте пула будет выглядеть как временное пропадание связи с пулом хотя решения и ваши гигахеши работали на хакера и он получил биткоины и гигахеши из ничего. Вы увидев такое решите что просто сложность высокая, или связь плохая или пул ДДОСЯТ.  

Edited 11 Aug 2014, 15:51 by jaskies

[Gooogle]

Очень грамотно продуманная атака! 

[erl]

А помоему дело было так: Вы купили АСИК который выдает 100500 Гигахешей и снабжен малинкой.... 

Вы подключаете его на мультипул и Асик копает вы довольны... Тут появляется хакер он атакует пул скомпрометировав его DNS кэш, далее хакер создает свой собственный пул присвоив ему какое нибуть DNS имя на пример: yadtjgs.williamhillsportsonline.com (вы получаете IP адрес хакерского пула, после некоторого времени подключение сбрасывается и вы обратно попадаете на родной пул), и вот Ваш Асик периодически копает на стороне решения уходят в пул хакера! В статистике на сайте пула будет выглядеть как временное пропадание связи с пулом хотя решения и ваши гигахеши работали на хакера и он получил биткоины и гигахеши из ничего. Вы увидев такое решите что просто сложность высокая, или связь плохая или пул ДДОСЯТ.  

Можно и без пропадания связи сделать если чуть скрипт стратума подшаманить. Держать соединение постоянно на стратум хакера, а тот пусть поддерживает на стратум пула. Когда нужно переключиться - отправляется новая задача майнеру от любого из пулов на выбор (в том числе старая задача от оригинального пула, которая выдавалась до получения задачи с хакерского). Ограничение в 30сек скорее всего и было для того чтобы таймаут не срабатывал и хэшрейт не сильно проседал. Т.е. все грамотно и запалили его не на уровне пулов и майнеров, а на уровне перехвата трафика.

[erl]

Злоумышленник перехватывал поток биткоинов и других цифровых валют, и зарабатывал около $9 000 в день.

 

Исследователи подразделения безопасности SecureWorks компании Dell говорят, что они обнаружили ряд совершенных мошенником краж у пользователей Bitcoin. Злоумышленник перехватывал трафик от не менее чем 19 интернет-провайдеров, в том числе Amazon и DigitalOcean, с целью хищения криптовалюты пользователей. Хотя каждое перенаправление длилось всего около 30 секунд, злоумышленник был в состоянии выполнить атаку 22 раза. Каждое кибернападение предоставляло мошеннику контроль над электронным кошельком жертвы.

 

Для генерации биткоинов злоумышленник скомпрометировал пулы. В свою очередь, участники пулов продолжали отдавать часть производительности скоих компьютеров на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые им доходы доставались хакеру. Техника перенаправления обманывала участников для того, чтобы продолжать искать блок криптографических алгоритмов Bitcoin, позволяя хакеру сохранить доходы. На пике своей деятельности, согласно подсчетам исследователей, хакер перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin, и зарабатывал около $9 000 в день.

 

Исследователи из Dell считают, что мошенник применил технику, называемую протокол BGP, в котором использован "протокол граничного шлюза", а также инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета. Предполагается, что хакер воспользовался учетной записью работника канадского интернет-провайдера, чтобы периодически транслировать поддельную команду, которая перенаправляет трафик от других провайдеров, начиная с февраля и до конца мая этого года.

 

Источник: securitylab.ru

После таких бредовых заголовков/текстов люди и начинают создавать ветки типа "можно ли с помощью tor'а защититься от кражи биткоинов?".

[ЯzzzЪ]

 

а че с помощью tor'а можно защититься от кражи биткоинов?

Edited 18 Aug 2014, 18:38 by ЯzzzЪ

[erl]

 

 

а че с помощью tor'а можно защититься от кражи биткоинов?

 

Нет, только от "перехвата потока биткоинов".

[ЯzzzЪ]

 

чет не получается у меня тором вашим майнить (((