Перейти к публикации
Karpet

Хакер перенаправлял трафик 19-ти Интернет-провайдеров для кражи биткоинов

Рекомендованные сообщения

(изменено)

Злоумышленник перехватывал поток биткоинов и других цифровых валют, и зарабатывал около $9 000 в день.

 

Исследователи подразделения безопасности SecureWorks компании Dell говорят, что они обнаружили ряд совершенных мошенником краж у пользователей Bitcoin. Злоумышленник перехватывал трафик от не менее чем 19 интернет-провайдеров, в том числе Amazon и DigitalOcean, с целью хищения криптовалюты пользователей. Хотя каждое перенаправление длилось всего около 30 секунд, злоумышленник был в состоянии выполнить атаку 22 раза. Каждое кибернападение предоставляло мошеннику контроль над электронным кошельком жертвы.

Для генерации биткоинов злоумышленник скомпрометировал пулы. В свою очередь, участники пулов продолжали отдавать часть производительности скоих компьютеров на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые им доходы доставались хакеру. Техника перенаправления обманывала участников для того, чтобы продолжать искать блок криптографических алгоритмов Bitcoin, позволяя хакеру сохранить доходы. На пике своей деятельности, согласно подсчетам исследователей, хакер перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin, и зарабатывал около $9 000 в день.

Исследователи из Dell считают, что мошенник применил технику, называемую протокол BGP, в котором использован "протокол граничного шлюза", а также инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета. Предполагается, что хакер воспользовался учетной записью работника канадского интернет-провайдера, чтобы периодически транслировать поддельную команду, которая перенаправляет трафик от других провайдеров, начиная с февраля и до конца мая этого года.

 

Источник: securitylab.ru

Изменено пользователем Karpet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...как то..корявенько эти журналисты описали сие действо.. "перехватывал поток биткоинов" :D

Изменено пользователем Lion74

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Для генерации биткоинов злоумышленник скомпрометировал пулы. В свою очередь, участники пулов продолжали отдавать часть производительности скоих компьютеров на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые им доходы доставались хакеру. Техника перенаправления обманывала участников для того, чтобы продолжать искать блок криптографических алгоритмов Bitcoin, позволяя хакеру сохранить доходы. На пике своей деятельности, согласно подсчетам исследователей, хакер перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin, и зарабатывал около $9 000 в день.

 

Только мне кажется, что аффтар не понимает, о чем пишет? :o

Он хочет сказать, что мегахацкер взломал кучу пулов, перенаправлял шары майнеров на свой пул, причем так, что никто ничего не заметил за полгода? Чисто попутно он взломал сеть канадского провайдера и переписал таблицы маршрутизации, и опять никто ничего не понял... :huh:

При чем тут "контроль над электронным кошельком жертвы" и каким образом это связано с пулами, непонятно. Майнинг на домашнем компьютере с кошельком уже давно приносит 3.5 копейки в неделю.

И все это за каких-то 9000$ в день.... такому человеку ЦРУ и АНБ с ходу дцать миллионов отвалят :D

Изменено пользователем Tomcat_MkII

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

.

Изменено пользователем temrus63

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только мне кажется, что аффтар не понимает, о чем пишет? :o

Он хочет сказать, что мегахацкер взломал кучу пулов, перенаправлял шары майнеров на свой пул, причем так, что никто ничего не заметил за полгода? Чисто попутно он взломал сеть канадского провайдера и переписал таблицы маршрутизации, и опять никто ничего не понял... :huh:

При чем тут "контроль над электронным кошельком жертвы" и каким образом это связано с пулами, непонятно. Майнинг на домашнем компьютере с кошельком уже давно приносит 3.5 копейки в неделю.

И все это за каких-то 9000$ в день.... такому человеку ЦРУ и АНБ с ходу дцать миллионов отвалят :D

 

 

написано конечно криво, вот тока не говорите что не поняли об чем реч ;)

 

И майнинг дает в сутки 25*6*24 * 590 = 2.124 млн $ в сутки.   Если спереть всего 1% - это 20000$ в сутки.

 

Причем основные мощности сосредоточены всего на нескольких крупнейших пулах - достаточно переключить траффик с этих узлов на свой пул, как все эти мировые мощности майнеров будут работать на него...

 

 

PS  можно подумать что АНБ  про RFC 4271 не знает и не пользуется этим...

А вот знают ли про него наши провайдеры и админы - бооольшой вопрос - по кр мере я не видел не одного админа, кто знаком с его деталями, а у меня много знакомых программистов и админов...

Вот и догадайтесь теперь кто админит российские сети и почему все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Два года назад мне камрад рассказывал, что путем MIM-атаки перехватить функцию getwork не составит вообще никакого труда, так как даже элементарного шифрования и защиты там нет. Но биток стоил 150 рублей и перспективы особой не было. Но индустрия майнинга сейчас десятки миллионов, а шифрования нет по-прежнему. То есть вычисляем, что соседний ангар доверху набит асиками, любым способом подключаемся к его сети, подменяем вызовы по порту 8233 и вся эта орава пытается генерить блоки не пулу, а нам. Точно так же можно подключиться к сети крупного пула, что видимо и описывается в первом посте. Хотя этот бред может означать и увод ДНС.

 

В общем, getwork, а лучше и вообще весь bitcoin-rpc надо шифровать на уровне протокола.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А лучше не шифровать - хакеры и админы провайдеров тоже кушать хотят ;))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

написано конечно криво, вот тока не говорите что не поняли об чем реч ;) И майнинг дает в сутки 25*6*24 * 590 = 2.124 млн $ в сутки. Если спереть всего 1% - это 20000$ в сутки.

При подмене DNS (или любой другой подмене хоста) будет перенаправляться всё, а не 1%

Нет, до сих пор не понял, как можно спереть 1% :huh: Человек, который это писал, не понимает, как работает майнинг. Шары оплачивает не вселенский разум, а тот пул, который выдавал задания, причем из чистой благотворительности :rolleyes:  Ведь если присланная шара не может собрать блок, она кошельком тут же выкидывается в /dev/null, учет ведет только stratum-сервер и только для оплаты майнеров, самому пулу от "мусорных" шар никакой пользы, кроме вреда. И чисто технически другой кошелек (т.е. хацкера) ими воспользоваться не может, даже если шара будет "блоковая", то есть будет превышать текущую сложность.

Именно поэтому stratum-трафик не шифруется и пароли для воркеров ставятся от балды - ни для кого, кроме конкретного пула и его майнеров он никакой ценности не представляет, хоть обперехватывайся.

 

 

 

Два года назад мне камрад рассказывал, что путем MIM-атаки перехватить функцию getwork не составит вообще никакого труда, так как даже элементарного шифрования и защиты там нет.

Потому и нет, что она нужна, как собаке запасное колесо... :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот зачем так категорично

"зачем, как, не нужно, не возможно"

это вам может быть не нужно а вот в параллельной вселенной (из которой похоже и взят материал для статьи) это даже очень нужно!!! :crazy:  так то !!!

Изменено пользователем ЯzzzЪ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Исследователи из Dell считают, что мошенник применил технику, называемую протокол BGP, в котором использован "протокол граничного шлюза", а также инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета.

 

Источник: securitylab.ru

 

Автор вообще дол***еб конченый какойто. Что еще за дебилизм какая еще техника BGP? BGP это и есть протокол пограничного шлюза, вообщето.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DnkzmuY.png

secureworks.com

 

Не понял как потом майнинг продолжался стока времени что бы никто не замечал?

 

добавлено

Судя по IP адресам это был провайдер ovh.com

Изменено пользователем Karpet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как он получал логины и пароли? Полный перехват трафика? Сколько на это нужно ресурсов....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А помоему дело было так: Вы купили АСИК который выдает 100500 Гигахешей и снабжен малинкой.... 

Вы подключаете его на мультипул и Асик копает вы довольны... Тут появляется хакер он атакует пул скомпрометировав его DNS кэш, далее хакер создает свой собственный пул присвоив ему какое нибуть DNS имя на пример: yadtjgs.williamhillsportsonline.com (вы получаете IP адрес хакерского пула, после некоторого времени подключение сбрасывается и вы обратно попадаете на родной пул), и вот Ваш Асик периодически копает на стороне решения уходят в пул хакера! В статистике на сайте пула будет выглядеть как временное пропадание связи с пулом хотя решения и ваши гигахеши работали на хакера и он получил биткоины и гигахеши из ничего. Вы увидев такое решите что просто сложность высокая, или связь плохая или пул ДДОСЯТ.  

Изменено пользователем jaskies

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А помоему дело было так: Вы купили АСИК который выдает 100500 Гигахешей и снабжен малинкой.... 

Вы подключаете его на мультипул и Асик копает вы довольны... Тут появляется хакер он атакует пул скомпрометировав его DNS кэш, далее хакер создает свой собственный пул присвоив ему какое нибуть DNS имя на пример: yadtjgs.williamhillsportsonline.com (вы получаете IP адрес хакерского пула, после некоторого времени подключение сбрасывается и вы обратно попадаете на родной пул), и вот Ваш Асик периодически копает на стороне решения уходят в пул хакера! В статистике на сайте пула будет выглядеть как временное пропадание связи с пулом хотя решения и ваши гигахеши работали на хакера и он получил биткоины и гигахеши из ничего. Вы увидев такое решите что просто сложность высокая, или связь плохая или пул ДДОСЯТ.  

Можно и без пропадания связи сделать если чуть скрипт стратума подшаманить. Держать соединение постоянно на стратум хакера, а тот пусть поддерживает на стратум пула. Когда нужно переключиться - отправляется новая задача майнеру от любого из пулов на выбор (в том числе старая задача от оригинального пула, которая выдавалась до получения задачи с хакерского). Ограничение в 30сек скорее всего и было для того чтобы таймаут не срабатывал и хэшрейт не сильно проседал. Т.е. все грамотно и запалили его не на уровне пулов и майнеров, а на уровне перехвата трафика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Злоумышленник перехватывал поток биткоинов и других цифровых валют, и зарабатывал около $9 000 в день.

 

Исследователи подразделения безопасности SecureWorks компании Dell говорят, что они обнаружили ряд совершенных мошенником краж у пользователей Bitcoin. Злоумышленник перехватывал трафик от не менее чем 19 интернет-провайдеров, в том числе Amazon и DigitalOcean, с целью хищения криптовалюты пользователей. Хотя каждое перенаправление длилось всего около 30 секунд, злоумышленник был в состоянии выполнить атаку 22 раза. Каждое кибернападение предоставляло мошеннику контроль над электронным кошельком жертвы.

 

Для генерации биткоинов злоумышленник скомпрометировал пулы. В свою очередь, участники пулов продолжали отдавать часть производительности скоих компьютеров на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые им доходы доставались хакеру. Техника перенаправления обманывала участников для того, чтобы продолжать искать блок криптографических алгоритмов Bitcoin, позволяя хакеру сохранить доходы. На пике своей деятельности, согласно подсчетам исследователей, хакер перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin, и зарабатывал около $9 000 в день.

 

Исследователи из Dell считают, что мошенник применил технику, называемую протокол BGP, в котором использован "протокол граничного шлюза", а также инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета. Предполагается, что хакер воспользовался учетной записью работника канадского интернет-провайдера, чтобы периодически транслировать поддельную команду, которая перенаправляет трафик от других провайдеров, начиная с февраля и до конца мая этого года.

 

Источник: securitylab.ru

После таких бредовых заголовков/текстов люди и начинают создавать ветки типа "можно ли с помощью tor'а защититься от кражи биткоинов?".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13699201929734.jpg

 

а че с помощью tor'а можно защититься от кражи биткоинов?

Изменено пользователем ЯzzzЪ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

13699201929734.jpg

 

а че с помощью tor'а можно защититься от кражи биткоинов?

 

Нет, только от "перехвата потока биткоинов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1408654024_vslhda3u404.jpg


 


чет не получается у меня тором вашим майнить (((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×