Developpez.com

Le Club des Développeurs et IT Pro

Des appareils Raspberry Pi détournés par un malware Linux pour le minage de cryptomonnaie

Les appareils sont ajoutés à un botnet

Le 2017-06-12 21:38:04, par Michael Guilloux, Chroniqueur Actualités
La forte croissance qu’a enregistrée le cours du bitcoin ces six derniers mois est loin de passer inaperçue. Au mois de janvier, la cryptomonnaie a atteint son plus haut niveau depuis trois ans en franchissant la barre des 1000 dollars US. En mai dernier, le cours du bitcoin est passé du simple au double en dépassant les 2000 dollars, un record jamais atteint depuis son lancement en 2009. Et les analystes s’attendent à ce que le cours de la cryptomonnaie franchisse bientôt la barre des 3000 dollars.

Avec cette montée en puissance du cours du bitcoin, le minage de la cryptomonnaie est plus que jamais rentable (toute chose étant égale par ailleurs), y compris pour les pirates qui détournent des appareils pour utiliser leurs puissances de calcul à l’insu des utilisateurs. Pour information, le minage est une activité essentielle pour de nombreuses cryptomonnaies, y compris le bitcoin. Elle consiste pour des utilisateurs à mettre à contribution les puissances de calcul de leurs machines afin de vérifier, d'enregistrer et de sécuriser les transactions dans la chaîne de blocs. En contrepartie, les mineurs sont rémunérés, pour chaque nouveau bloc validé, par des bitcoins nouvellement créés et par les frais des transactions traitées.

Les chercheurs en sécurité de Doctor Web ont découvert un programme Linux malveillant qui installe une application de minage de cryptomonnaie sur les périphériques qu'il infecte. Le malware baptisé Linux.MulDrop.14 n'attaque que les micro-ordinateurs Raspberry Pi. D’après Doctor Web, les criminels ont commencé à distribuer Linux.MulDrop.14 dans la seconde moitié de mai, c'est-à-dire au moment où le cours du bitcoin a franchi la barre des 2000 dollars. « Le cheval de Troie est un script qui contient une application compressée et chiffrée conçue pour faire du minage de cryptomonnaie », rapportent les chercheurs de Doctor Web.


Si les Raspberry Pi disposent de certaines ressources matérielles qui pourraient être utilisées par le logiciel malveillant, ils ne sont pas aussi puissants que les ordinateurs de bureau ou portables classiques, et encore moins les dispositifs dédiés au minage de cryptomonnaie. Linux.MulDrop.14 chercherait donc à former un botnet de dispositifs Raspberry Pi qui lui permettrait d'avoir suffisamment de puissance pour le minage de cryptomonnaie.

À l’aide du scanner de réseau Zmap, le malware va rechercher des dispositifs Raspberry Pi avec un port SSH ouvert. Une fois qu'il en trouve un, Linux.MulDrop.14 utilise sshpass pour tenter de se connecter à l’appareil en utilisant le nom d'utilisateur et le mot de passe par défaut ("pi" et "raspberry", avant d’effectuer un certain nombre d’actions : « Linux.MulDrop.14 modifie le mot de passe sur les périphériques qu'il infecte, décompresse et lance un mineur, puis, dans une boucle infinie, commence la recherche de nœuds de réseau avec un port 22 ouvert », explique les chercheurs. « Après avoir établi une connexion avec eux via le protocole SSH, le Trojan tente d'exécuter une copie de lui-même sur [ces appareils] », ont-ils ajouté.

Source : Doctor Web, Bleeping Computer

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

AMD et NVIDIA pourraient bientôt lancer des cartes graphiques optimisées pour le minage de Bitcoin, avec la hausse de la valeur de la cryptomonnaie
  Discussion forum
9 commentaires
  • LittleWhite
    Responsable 2D/3D/Jeux
    Bonjour,

    Ou pas. Sachant qu'il peut très bien avoir ajouté une extension à son outil de contamination pour toucher les RPi en plus des machines "classiques". Et même s'il ne fait pas ça et qu'il contamine 1000, voir 10000 machines, il aura un rendement meilleur qu'un GPU.
    le 13/06/2017 à 11:56
  • monwarez
    Membre actif
    Je comprends mieux pourquoi sur mon serveur j'ai des tentatives d’accès avec pi comme nom d'utilisateur.
    le 13/06/2017 à 7:51
  • sevyc64
    Modérateur
    Envoyé par akoho
    Hahaha, mais qui irait brancher son raspberry pi à internet avec les config. de port et utilisateurs par défaut ?
    Moi

    Bon d'un autre coté, avec mon RPi qui ne doit même pas tourner l'équivalent d'1h par mois, ils sont un peu mal barré pour se faire de la thune sur mon dos
    le 17/06/2017 à 21:43
  • akoho
    Membre régulier
    Hahaha, mais qui irait brancher son raspberry pi à internet avec les config. de port et utilisateurs par défaut ?
    le 13/06/2017 à 8:22
  • Bktero
    Modérateur
    Apparemment beaucoup de monde ^^
    le 13/06/2017 à 9:07
  • hotcryx
    Membre extrêmement actif
    Tin les petits batards!
    J'ai vu il y a quelques jours qu'il y avait une faille de sécurité au niveau des sous-titrages dans Kodi/Osmc.
    D'ailleurs le système recommandait de faire un upgrade (vers Krypton 17.3), ce que j'ai fait hier.
    Je me demande si ce n'était pas ce virus (ou une variante), pour transmettre, installer, dupliquer et exécuter le virus.

    Edit:
    J'ai trouvé cet article de Juin 2017 expliquant comment installer l'antivirus clamav (au cas où!).

    Google translate en UK:
    https://translate.google.com/transla...are-scanner%2F

    Version originale (NL):
    https://raspberrytips.nl/raspberry-p...lware-scanner/

    Rem: ça me fait penser que des virus pourrait être injecté dans OSMC/Kodi via des addons python!
    le 13/06/2017 à 10:32
  • Orionos
    Membre habitué
    Je pense que le mec qui développe un programme permettant de miner du bitcoin sur Raspberry Pi aurait meilleur temps de faire quelques heures supp et de s'acheter du matériel spécialisé.
    le 13/06/2017 à 11:34
  • hotcryx
    Membre extrêmement actif
    qu'un CPU (pas GPU)
    le 13/06/2017 à 13:49
  • blazo
    Membre à l'essai
    si si gpu
    le 13/06/2017 à 15:25
  Poster une réponse