Pull to refresh

Хакеры воровали криптовалюту подменой BGP-анонсов mining pool'ов

Reading time 1 min
Views 21K
image

По информации от команды Dell SecureWorks Counter Threat Unit, неизвестные лица анонсировали IP-адреса крупных mining pool'ов криптовалют Bitcoin, Dogecoin, HoboNickels и Worldcoin в течение 4 месяцев: с 3 февраля по 12 мая 2014 года. Провернуть такое было возможно из-за отсутствия как проверки подлинности сервера, так и шифрования в протоколе Stratum, который используется большинством пулов.

Первые ноты подозрительной активности заметил пользователь caution с форума bitcointalk 22 марта. Его майнеры подключились к неизвестному IP-адресу и, по какой-то причине, перестали майнить.

Злоумышленники анонсировали IP-адреса пулов только на короткое время, вероятно, всего в течение нескольких минут или секунд, завершали TCP-соединение, всем переподключившимся майнерам отправляли команду reconnect с указанием адреса своего mining pool, затем убирали анонс. Всего им удалось заполучить около $83000 за все 4 месяца.

BGP-анонсы производились с одного ISP в Канаде. Через 3 дня после оповещения ISP, подмены прекратились. На настоящий момент неизвестно, кто их совершал. Есть три версии:
  • Работник ISP
  • Уволенный работник ISP, у которого остался доступ на маршрутизаторы
  • Хакер

Более подробная информация на сайте Dell SecureWorks.
Tags:
Hubs:
+40
Comments 18
Comments Comments 18

Articles