查看原文
其他

黑客使用默认SSH凭证接管以太坊挖矿设备

代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!


作者: Catalin Cimpanu

翻译:360代码卫士团队



一个威胁组织正在大规模扫描互联网寻找运行ethOS的以太坊挖矿设备。这些设备因仍在使用ethOS的默认SSH凭证而成为目标。

攻击者正在使用这些凭证获取访问挖矿设备的权限,并将设备所有人的以太坊钱包地址替换为自己的地址,从而获得本应属于设备真正所有人的挖矿收益。


扫描始于本周一


这些攻击出现于本周一,并由罗马尼亚网络公司Bitdefender设立的一个蜜罐首先检测到。

蜜罐日志显示,攻击者试图在尝试两个特别的SSH用户名和密码组合,即ethos:liveroot:live

研究人员在互联网上搜索后,认为这两个组合属于ethOS。它是一款64位精简版的Linux发行版本,专注于基于GPU的密币挖掘如以太坊、Zcash、门罗币等。

安全研究人员发现攻击者试图替换默认的挖矿钱包ID。攻击者的僵尸试图在被劫持系统上执行的所有命令可参见此处(https://pastebin.com/bB7AyjqN)


攻击者仅攫取611美元


虽然ethOS团队声称超过3.8万台挖矿设备在运行ethOS,但并非所有设备都易受攻击。如果设备所有人更改了操作系统的默认凭证并部署防火墙,那么这些设备就可防御此类攻击。

Bitdefender公司的一名高级电子威胁分析师Bogdan Botezatu指出,黑客的以太坊钱包 ((0xb4ada014279d9049707e9A51F022313290Ca1276)仅持有10次以太坊交易,总价值为601美元。Botezatu指出,使用基于ethOS的以太坊挖矿者要确保已更改默认登录凭证。


密币爱好者遭受的类似攻击


Bitdefender这次发现的攻击事件并非针对密币爱好者的唯一一次攻击。9月份,ESET公司发现恶意攻击者不断扫描未修复的IIS 6.0服务器以安装门罗币挖矿机。攻击者共获得价值6.3万美元的门罗币。

卡巴斯基实验室也刚刚发现CryptoShuffler木马通过替换剪贴板上的密币钱包ID攫取利益,截至目前已窃取15万美元。

8月末,安全专家VictorGevers发现超过3000台比特币挖矿设备的Telnet端口暴露在互联网上且未设置密码。多数设备位于中国。

4月份,研究人员在BitmainAntminer密币挖矿设备中发现了一个隐藏后门。该漏洞被称为“Antbleed(蚂蚁出血)”,而且Bitmain发布了一个固件更新修复该问题。

Rapid7公司发布的年度国家暴露指数(National Exposure Index) 指出,超过2000万台设备的SSH端口暴露在网上。

Wordfence最近发现有威胁组织扫描WordPress站点查找可能包含SSH私钥的文件夹。扫描是从一份报告发现“广泛缺乏SSH安全控制”后发起的。



拓展阅读


坐着数钞票:仅凭替换剪贴板中的比特币钱包ID就到手15万美元

维基解密披露CIA植入窃取SSH凭证

“SSH变态”黑客使用密码字典发动SSH暴力攻击


本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


原文链接:

https://www.bleepingcomputer.com/news/security/hackers-using-default-ssh-creds-to-take-over-ethereum-mining-equipment/

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存