黑客使用默认SSH凭证接管以太坊挖矿设备
作者: Catalin Cimpanu
翻译:360代码卫士团队
一个威胁组织正在大规模扫描互联网寻找运行ethOS的以太坊挖矿设备。这些设备因仍在使用ethOS的默认SSH凭证而成为目标。
攻击者正在使用这些凭证获取访问挖矿设备的权限,并将设备所有人的以太坊钱包地址替换为自己的地址,从而获得本应属于设备真正所有人的挖矿收益。
这些攻击出现于本周一,并由罗马尼亚网络公司Bitdefender设立的一个蜜罐首先检测到。
蜜罐日志显示,攻击者试图在尝试两个特别的SSH用户名和密码组合,即ethos:live和root:live。
研究人员在互联网上搜索后,认为这两个组合属于ethOS。它是一款64位精简版的Linux发行版本,专注于基于GPU的密币挖掘如以太坊、Zcash、门罗币等。
安全研究人员发现攻击者试图替换默认的挖矿钱包ID。攻击者的僵尸试图在被劫持系统上执行的所有命令可参见此处(https://pastebin.com/bB7AyjqN)。
虽然ethOS团队声称超过3.8万台挖矿设备在运行ethOS,但并非所有设备都易受攻击。如果设备所有人更改了操作系统的默认凭证并部署防火墙,那么这些设备就可防御此类攻击。
Bitdefender公司的一名高级电子威胁分析师Bogdan Botezatu指出,黑客的以太坊钱包 ((0xb4ada014279d9049707e9A51F022313290Ca1276)仅持有10次以太坊交易,总价值为601美元。Botezatu指出,使用基于ethOS的以太坊挖矿者要确保已更改默认登录凭证。
Bitdefender这次发现的攻击事件并非针对密币爱好者的唯一一次攻击。9月份,ESET公司发现恶意攻击者不断扫描未修复的IIS 6.0服务器以安装门罗币挖矿机。攻击者共获得价值6.3万美元的门罗币。
卡巴斯基实验室也刚刚发现CryptoShuffler木马通过替换剪贴板上的密币钱包ID攫取利益,截至目前已窃取15万美元。
8月末,安全专家VictorGevers发现超过3000台比特币挖矿设备的Telnet端口暴露在互联网上且未设置密码。多数设备位于中国。
4月份,研究人员在Bitmain的Antminer密币挖矿设备中发现了一个隐藏后门。该漏洞被称为“Antbleed(蚂蚁出血)”,而且Bitmain发布了一个固件更新修复该问题。
Rapid7公司发布的年度国家暴露指数(National Exposure Index) 指出,超过2000万台设备的SSH端口暴露在网上。
Wordfence最近发现有威胁组织扫描WordPress站点查找可能包含SSH私钥的文件夹。扫描是从一份报告发现“广泛缺乏SSH安全控制”后发起的。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/hackers-using-default-ssh-creds-to-take-over-ethereum-mining-equipment/