Si le minage illégal de monnaie numérique, que ce soit directement dans le navigateur ou via des mineurs de cryptomonnaies déployés subtilement, n'est pas une nouveauté, BitDefender indique que ses systèmes de pots de miel ont commencé à signaler un type d'attaque différent.Les premières attaques ont été détectées lundi, lorsque le pot de miel SSH de BitDefender lui a indiqué les activités d'un bot qui essayait de changer la configuration du système pour détourner des fonds des opérations d'extraction d'Ethereum.
« Si vous êtes sur le marché, vous connaissez probablement un système d'exploitation optimisé pour l'extraction Ethereum, baptisé EthOS. Ce système d'exploitation commercial peut extraire Ethereum, Zcash, Monero et d'autres cryptomonnaies qui dépendent de la puissance du GPU. Selon ses créateurs, il tourne actuellement sur plus de 38 000 plateformes minières à travers le monde. Comme les autres systèmes d'exploitation spécialisés, il est livré avec les outils nécessaires, ainsi qu'un nom d'utilisateur et un mot de passe par défaut. Après le déploiement, il ne reste plus à l'utilisateur qu’à ajouter un portefeuille pour les frais d'exploitation et, bien sûr, modifier le nom d'utilisateur et le mot de passe par défaut », rappelle Bogdan BOTEZATU de BitDefender.
C'est précisément cette omission qui est actuellement exploitée dans la nature. Le robot analyse la totalité de la plage IPv4 et recherche les connexions SSH ouvertes. S'il en trouve, il tente de se connecter en utilisant le nom d'utilisateur et le mot de passe par défaut du système d'exploitation EthOS: ethos: live et root: live.
Si la connexion réussit, il tente de modifier la configuration existante pour Ethereum afin de détourner le processus d'extraction vers l'adresse Ethereum de l'attaquant. En clair, l’attaquant remplace l’ID du portefeuille par le sien.
BitDefender a repéré le portefeuille de l’attaquant (0xb4ada014279d9049707e9A51F022313290Ca1276) qui ne montre que 10 transactions au cours des derniers jours d'une valeur totale de 593 $ en ethers.
« Donc, si vous utilisez un extracteur Ether basé sur Ethereum OS, assurez-vous d'avoir changé les informations de connexion par défaut. Si vous ne l'avez pas fait, ce serait le moment de vérifier si l’argent vous est transféré, et non à des pirates informatiques. »
La découverte de Bitdefender n'est pas unique en son genre. En septembre, ESET a découvert qu'un acteur malveillant parcourait constamment Internet à la recherche des serveurs IIS 6.0 non patchés pour installer un mineur Monero. L'attaquant, qui a profité d'une faille qui était alors zero-day, a fait plus de 63 000 $ de moneros.
Kaspersky a révélé des détails sur un groupe qui utilisait le cheval de Troie CryptoShuffler pour fouiller les presse-papiers de PC et remplacer les ID de portefeuille de cryptomonnaies par les leurs. Le groupe a fait plus de 150 000 $ de bitcoins et des dizaines de milliers dans d’autres monnaies numériques.
Fin août, l'expert en sécurité Victor Gevers a découvert plus de 3000 plateformes de forage Bitcoin avec des ports Telnet exposés sur Internet et aucun mot de passe. La plupart étaient situés en Chine.
En avril, des chercheurs en sécurité ont découvert une porte dérobée cachée dans le micrologiciel des plateformes de minage de cryptomonnaies Antminer de Bitmain. La vulnérabilité a été nommée Antbleed et Bitmain a publié une mise à jour du firmware pour résoudre le problème.
Selon le National Exposure Index de Rapid7, un rapport annuel sur les appareils avec des ports laissés exposés en ligne, il y a plus de 20 millions d'appareils avec des ports SSH exposés en ligne.
Source : BitDefender, Ethplorer (portefeuille Ether de l'attaquant), ESET, blockchain des opérateurs de CryptoShuffler, AntBleed