Krádež storočia, hacker ovládol IP adresy Bitcoin mining poolov a využíval prácu minerov

Značky: bezpečnosťInternetrouterykryptomeny

DSL.sk, 8.8.2014

V prvej polovici tohto roka zatiaľ neznámy útočník realizoval extrémne sofistikovaný útok s cieľom využívať prácu iných minerov kryptomien vo svoj prospech, ktorý sa vyznačoval zaujímavou mierou kreativity.

Útok odhalila a vo štvrtok naň upozornila bezpečnostná divízia SecureWorks spoločnosti Dell.

Útok spočíval v opakovanom krátkodobom privlastňovaní si IP adries patriacich poolom krytomeny Bitcoin a ďalších kryptomien, presmerovaní minerov pripájajúcich sa k týmto poolom na vlastný pool útočníka a využívaní ich práce na ťaženie kryptomien v prospech útočníka.

Kryptomeny ťažia tzv. mineri uskutočňovaním náročných výpočtov, v súčasnosti už väčšinou na efektívnom nákladnom špecializovanom hardvéri postavenom na špeciálnych čipoch vyvinutých na tento účel. Tzv. pooly umožňujú realizovať tieto výpočty koordinovane veľkým skupinám minerom, ktorí sa v prípade úspechu a vyťaženia meny o ňu podelia a zabezpečujú si tak pravidelné menšie príjmy namiesto náhodných občasných veľkých príjmov.

Jednotlivé čiastkové úlohy, na ktorých má pracovať, softvér minera manažujúci ťaženie získava pripájaním sa na server poolu cez tzv. protokol Stratum.

Útočník si v popísanom sofistikovanom útoku dočasne privlastňoval malé /24 rozsahy IP adries, v ktorých sa nachádzali IP adresy serverov jednotlivých poolov, tak, že BGP protokolom oznamoval falošné routovania pre tieto rozsahy do siete pod jeho kontrolou. Keďže oznamoval menšie rozsahy ako originálni ISP vlastniaci tieto rozsahy, jeho falošné routovanie dostávalo prednosť.

Protokol BGP, ktorým komunikujú routery zabezpečujúce routovanie medzi jednotlivými sieťami, neautentifikuje jednotlivé oznamované routovania a útočník s prístupom k BGP routeru môže avizovať aj falošné routovania. Útočník tak v tomto prípade robil cez router u kanadského ISP, či router hackol alebo mal k nemu prístup ako zamestnanec zatiaľ nie je známe.

Potom ako bola IP adresa poolu presmerovaná na server pod kontrolou útočníka, začali sa k jeho serveru pripájať mineri originálne sa pripájajúci na daný originálny pool. Aby útočník nemusel presmerovávať IP adresy po dlhý čas a jeho útok zostal čo najdlhšie nedetekovaný, využil funkciu Stratum protokolu a minerov presmeroval na novú IP adresu pod jeho kontrolou bez potreby falšovania BGP routovania. Mineri tak odvtedy aj po ukončení útoku na BGP routovanie komunikovali s poolom útočníka.

Ten im zadával prácu, vyťaženú kryptomenu si ale samozrejme nechával pre seba. Takýmto spôsobom ťažil minimálne Bitcoin, Dogecoin, HoboNickels, a Worldcoin.

Útok realizoval od 3. februára do 13. mája 2014, pričom preberal aj minerov pripojených k najväčším poolom GHash.IO, 50BTC, BTCGuild, Slush, Eclipse, BitMinter.

Bezpečnostní experti identifikovali celkom šesť adries kryptomien, na ktoré útočník nechal posielať vyťažené mince. Spolu na nich identifikovali získanú kryptomenu v hodnote 83 tisíc dolárov. Expertom sa nepodarilo identifikovať žiadnu vyťaženú menu medzi 29. marcom a 11. aprílom a nie je tak vylúčené, že útočník využíval aj iné adresy a vyťažil ešte viac.

Podobné neautorizované presmerovania IP adries cez protokol BGP, či už útokom alebo zlou konfiguráciou, sa objavili už aj v minulosti a často s vážnejšími následkami. Zabrániť využívaniu takýchto útokov na ťaženie kryptomien ako v aktuálne odhalenom útoku by tak bolo najefektívnejšie povinným vyžadovaním pripájania cez SSL s overovaním certifikátov.

Mineri môžu podobný útok v súčasnosti detekovať detekovaním anomálií v množstve získavanej meny ťažením a prípadne detekovaním presmerovávaní na úrovni Stratum protokolu.




Najnovšie články:



Diskusia:

dsafsdfasdfs Od: dfasdfasdfas | Pridané: 8.8.2014 11:23 za takyto domyselny o*eb si tie peniaze zasluzi Odpovedať Známka: 8.7 Hodnotiť:

Re: dsafsdfasdfs Od: hmm. | Pridané: 8.8.2014 19:46 Prilezitost robi zlodeja... Taky o*eb by napadol aj mna, len ja nemam prilezitost. :) Odpovedať Známka: -8.6 Hodnotiť:

Re: dsafsdfasdfs Od: ... | Pridané: 9.8.2014 7:37 Skor schopnosti Odpovedať Známka: 10.0 Hodnotiť:

Re: dsafsdfasdfs Od: dedko mraz | Pridané: 9.8.2014 9:16 Tak to si šikovný, gratulujem, klobúk dole. Odpovedať Známka: 10.0 Hodnotiť:

coin, Od: ato.v | Pridané: 8.8.2014 11:25 posielam kvety Odpovedať Známka: 8.0 Hodnotiť:

Re: coin, Od: Dedo Jablko | Pridané: 8.8.2014 11:51 posli mi bitcoin: aASDasda6d4a54sd654d86a6sda6sd4a6sd Odpovedať Známka: -7.4 Hodnotiť:

Re: coin, Od: Janko H. | Pridané: 8.8.2014 12:03 adresa neexistuje... skoda, rad by som ti jeden-dva btc poslal. Odpovedať Známka: 8.1 Hodnotiť:

Re: coin, Od: čierny princ | Pridané: 8.8.2014 12:10 Dobrý deň pozdravy, dovoľte predstaviť, syn zosnulý nigéria prin umrel. Dedičstvo 100000 bitcoin, ktorá neumožňujú politická situácia transfer. Komplikovaný predpis nemôže nigéria vlastníctvo bitcoin peňaženku, prosba tvoja transfer použije. Za to 25%, 25000 bitcoin profit. Tejto situáciu nutné 1000 EUR poplatok zašli, bude vrátený okamžite prevod uskutočniť. Tešíme spoločný business, veľký profit. Bukar Abba Ibrahim Odpovedať Známka: 9.4 Hodnotiť:

Re: coin, Od: sads | Pridané: 8.8.2014 12:28 Please take my money Odpovedať Známka: 9.1 Hodnotiť:

Re: coin, Od: 23424323 | Pridané: 8.8.2014 12:32 Rob si srandu, ale co ked sa niekto takto pokusal presunut peniaze a my sme ho odignorovali? Odpovedať Známka: -0.4 Hodnotiť:

Re: coin, Od: sads | Pridané: 8.8.2014 13:06 Neboj, som si isty, ze sa nasli nejake dobre duse, co mu pomohli. Odpovedať Známka: 9.5 Hodnotiť:

Re: coin, Od: Neviem | Pridané: 8.8.2014 14:56 Spomínam si matne (jedna pani povedala) na dve podivné ponuky, ak niekto vie podrobnosti napíšte. Prvá bola, že nejaký miliardár posiela každoročne 10-tim ľuďom ktorí o sebe navzájom nevedia ponuku, že si môžu prísť pre milión dolárov. Podmienkou je, že ich dostane len jeden z nich a len vtedy ak sa prihlási sám zo všetkých desiatich. Doteraz nikto nevyhral Druhá je, že niekto (?) testoval nigérijský scam tak, že napísal ľuďom podobný list podobným štýlom s tým, že mal vážne v úmysle celú procedúru vykonať a províziu naozaj príslušnému človeku vyplatiť. Vraj sa tiež nikto neprihlásil. Odpovedať Známka: 10.0 Hodnotiť:

Re: coin, Od: ... | Pridané: 9.8.2014 7:40 To su stale kvazi odrby a proste ta to netrapi. Avsak toto iste spravil clovek, ktory to urobil cez telefon a zacal zo slovami: mam pre vas ponuku, ktora vam zmeni zivot. Po tychto slovach 95% ludi automaticky sklada telefon. Odpovedať Známka: 10.0 Hodnotiť:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: xXxXxXfff | Pridané: 8.8.2014 13:53 Na najväčšiu krádež minulého storočia sa to stále nechytá... Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: WinstonSmith | Pridané: 8.8.2014 14:09 ale najdômyselnejšia určite je. Odpovedať Známka: 6.5 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: konecne | Pridané: 8.8.2014 15:21 Konečne bezpečná kryptomena, dosť bolo cetrálných bánk, bez záruky stability meny, chcem Bitkoin ako jedinú menu na svete aby som sa cítil bezpečne a nezneužívaný! ha, ha, ha Odpovedať Známka: -5.7 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: WinstonSmith | Pridané: 8.8.2014 15:51 Si magor... Neuvedomuješ si závislosť sveta od bár hajzlov, ktorí všetko ovládajú cez svetové banky? Áno, treba vychytať veľa múch, ale komerčné banky sú oveľa väčšie zlo. Odpovedať Známka: -0.9 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: fhfdff | Pridané: 8.8.2014 15:58 magor si akurát ty, šíriš stokrát otrepané bludy bez akéhokoľvek reáneho podkladu. najväčšie zlo sú magori ako ty, samozvaní mesiáši šíriaci svoje bludy medzi sprostejšími. Odpovedať Známka: -5.7 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: ujo horar | Pridané: 8.8.2014 17:41 kamo, si precitaj toto.. http://goo.gl/tPYZup a potom tu nieco vypisuj Odpovedať Známka: 2.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: fakt | Pridané: 8.8.2014 22:20 A ? Vždy lepšie ako bitkoin. Máš 1 mil. €, kde ich investuješ? do bitkoinu? Alebo iný príklad. Kde si vložíš peniaze za a) do bánk podľa výšky zábezpeky pri krachu banky alebo za b) ich zmeníš na BTC do nejakej fiktívnej peňaženky, ku ktorej keď náhodou zabudneš heslo tak o všetko prídeš. A budeš sa modliť, či ti ju niekto nehackne alebo neklesne cena BTC o 200%. Sa prebech chlape...uvažuj hlavou , nie klávesnicou a myšou :) Odpovedať Známka: -3.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: ... | Pridané: 9.8.2014 7:42 Pri takejto sume ich urcite nebudes pchat do banky. Do BTC sice tiez nie, ale take rozpravky ako vyska zabezpeky pri krachu - to su rozpravky pre naivnych. Peniaze investujes na burze, alebo kupis nehnutelnost. Na banku z vysoka series. Odpovedať Známka: 6.7 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: meh | Pridané: 9.8.2014 9:55 synak, ty si asi neuvedomujes hodnotu penazi, lebo s 1M E ta na burze akurat tak vysmeju, to si pekne hodis do banky a budes sa usmievat ked ta teta na prepazke ponukne cukrikom Odpovedať Známka: -4.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: ... | Pridané: 9.8.2014 12:10 Pan bude urcite odbornik. Nie ze nemas ani ten milion, ale zrejme si burzu nevidel ani na obrazku. Odpovedať Známka: 7.8 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: meh | Pridané: 9.8.2014 15:34 to ze mas forex v mobile z teba nerobi odbornika na burzu ;) Odpovedať Známka: -2.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: Jdjdjd | Pridané: 10.8.2014 10:00 Pozri si cenu BTC na zaciatku 2013 a teraz. A teraz sa preber ty Odpovedať Známka: 3.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: prezrad | Pridané: 11.8.2014 8:47 A koľkí z tých vlastnikov BTC si ich reánle kúpili? Vacsina z nich ich má vydolovaných. A dolovanie niečo stálo a stoji. Ano par ludi neskutocne zarobilo, co predali v pravu chvilu, je to cisto spekulacna kmodita, nie ako mena !!! Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: pozri | Pridané: 11.8.2014 21:52 A ty si pozri zase max. hodnotu BTC cca 1.200 USD a onedlho 600 UDS. Porovnaj si to s kurzom € v priebehu 10 rokov a potom to porovnávaj, ty fainšmeker na menu :) Odpovedať Hodnotiť:

offline Od: Kicko | Pridané: 8.8.2014 13:59 Ja bych secky ty IP rozsahy, pooly a picicoiny zrusila. Odpovedať Známka: 8.5 Hodnotiť:

zarobok Od: Kicko | Pridané: 8.8.2014 14:01 Akoze, je to sofistikovane, klobuk dole, ale ukradol iba 83.000 ... to nie je ani kradez dna. To aj na Slovensku sa za den viacej ukradne cez tendre. Odpovedať Známka: 9.4 Hodnotiť:

Re: zarobok Od: danooo | Pridané: 8.8.2014 14:48 tak citaj. O 83k sa vie. Odpovedať Známka: 10.0 Hodnotiť:

Re: zarobok Od: huangg | Pridané: 8.8.2014 16:59 aj na slovensku sa len o niektorych kradeziach vie... Odpovedať Známka: 9.3 Hodnotiť:

TLS pre stratum Od reg.: Deafboy | Pridané: 8.8.2014 14:46 Vsetci odporucaju TLS pre stratum, ako to ale pomoze proti BGP hijack utokom ako takym? ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: TLS pre stratum Od: updateee | Pridané: 8.8.2014 15:30 BGR.. tak im treba, nemaju byt admini lenivi a maju pouzivat staticke routovanie Odpovedať Známka: -2.5 Hodnotiť:

Re: TLS pre stratum Od: Dynamika | Pridané: 10.8.2014 8:42 ...chlapce tebe musi jebat na majak, ze ? Staticke routrovanie ? A ako by si presmeroval tok dat ked ti prdne hlavny router ? Rozmyslame tou vecou co je na krku!!!! Odpovedať Hodnotiť:

brilantne Od: fxfx | Pridané: 8.8.2014 15:07 dopice.sk/aak Odpovedať Známka: 5.0 Hodnotiť:

Re: brilantne Od: de bol | Pridané: 9.8.2014 9:25 Pomozem ti: gyfcat.com na gifka, imgur.com na obrazky. gratulujem za dopice.sk to si dal spravne Odpovedať Hodnotiť:

Re: brilantne Od: de bol | Pridané: 9.8.2014 9:38 gfycat gfycat.com how could I mess this bad? Odpovedať Hodnotiť:

Re: brilantne Od: fxfx | Pridané: 9.8.2014 16:13 kua.. posral som to, dakujem za navod Odpovedať Hodnotiť:

Pridať komentár