Ранее сообщалось о взломе электронных кошельков биткоин и сайтов биткоин, но теперь хакер ухитрился украсть криптовалюту из пулов для майнинга, заработав $83,000 за 4 месяца путем получения доступа к канадскому интернет-провайдеру.
Виртуальная валюта биткоин использует шифрование для создания и перевода биткоинов. В электронных кошельках пользователей хранятся адреса биткоинов, из которых биткоины были получены или куда отправлены. Биткоин применяет шифрование с открытым ключом, так что каждый адрес приурочен к паре математически связанных открытого и закрытого ключей, хранящихся в кошельке.
Специалисты из отдела по борьбе с угрозами Dell SecureWorks, компании по киберразведке, выявили серию злонамеренных операций, в ходе которых вор криптовалюты использовал фиктивные широковещательные передачи протокола пограничной маршрутизации (BGP) для захвата сетей, принадлежащих не менее 19 интернет-провайдерам, включая Amazon и другие хостинги вроде DigitalOcean и OVH, чтобы украсть криптовалюту у группы пользователей биткоин. Всего исследователи зафиксировали 51 взломанную сеть у 19 различных провайдеров (ISP).
Передавая вредоносные сетевые маршруты посредством BGP, вор биткоин сумел перенаправить часть интернет-трафика от подлинных серверов майнинга валюты в одной сети к поддельным серверам в другой сети, выдававшим себя за настоящие серверы.
Целью хакера была группа пулов для майнинга биткоинов – кооперативов по производству биткоинов, в которых пользователи отдают вычислительные ресурсы своих компьютеров, чтобы получить свою долю от всей криптовалюты, вырабатываемой пулом.
Фальшивые серверы для майнинга позволяли майнерам продолжать добычу криптовалюты, но не отдавали никаких выплат майнерам. Вместо этого все выплаты от майнинга уходили в карман злоумышленнику. Всего за 4 месяца он заработал 83000 долларов в криптовалюте.
Хакер захватил пул для майнинга, поэтому было затронуто много криптоденег. Протоколы не позволяют точно определить, какие именно, но эксперты из Dell SecureWorks сопоставили операции с определенными адресами.
Хакер украл мощности майнинга для добычи не только битокинов, но и иных криптовалют - дожекойнов, хобоникелей и ворлдкойнов. Мелкий майнер потерял аж 8,000 дожекойнов, эквивалентных 1.53 доллара, в результате взлома.
Группа специалистов обнаружила деятельность злоумышленника, после того как заметила, что часть ее собственных мощностей для майнинга была украдена, и отследили злокозненную активность до канадского провайдера, название которого не раскрывается. Однако до сей поры неясно, как хакер умудрился проникнуть в инфраструктуру провайдера, чтобы переключить мощности майнинга пользователей на свой собственный пул.
В отличие от протоколов сетевой маршрутизации, способных автоматически инициировать соединение из одной сети, оба конца сетей с поддержкой BGP (также именуемые «пирами») должны быть вручную настроены на общение между собой. Данное требование гарантирует, что вредоносные сети не могут перехватывать трафик без вмешательства человека из легитимной сети.
Предотвратить подобные атаки в дальнейшем позволит лишь применение службы инфраструктуры открытого ключа ресурса (RPKI), применяющей криптографические сертификаты для проверки достоверности источника сетевых сообщений.
Кроме того, специалисты посоветовали майнерам криптовалюты, чтобы серверы их пулов для майнинга использовали протокол шифрования SSL, предотвращающий перенаправление подключений на другой сервер, даже если тот сервер имеет такой же IP адрес, что и у настоящего сервера.
