Взломщики снова ищут уязвимые криптокошельки и майнеры

Эксперты компании Bad Packet LLC предупреждают о массированных атаках на Ethereum-кошельки и ПО для майнинга. Злоумышленники крадут криптоактивы через незащищенные порты 8545, которые использует программный интерфейс JSON-RPC (JavaScript Object Notation Remote Procedure Call).

Он позволяет приложениям обмениваться данными между собой и с другими сервисами, через него в том числе идут операции зачисления валюты и проведения платежей. Как поясняют специалисты, данный протокол не предназначен для внешних подключений, поэтому по умолчанию он не защищен паролем.

Предполагается, что при первоначальной настройке пользователи криптокошельков или майнеров должны сами ограничить доступ к ним. Еще в 2015 году представители Ethereum призывали владельцев криптовалюты установить пароль или спрятать уязвимый порт за межсетевым экраном.

Тем не менее, многие пользователи пренебрегают этими мерами предосторожности, позволяя злоумышленникам перехватывать контроль над активами и выводить средства. Эксперты отмечают, что активное сканирование незащищенных портов зачастую совпадает со скачками курсов криптовалют.

Так, о первых подобных инцидентах сообщалось в ноябре 2017 года, когда Ethereum за месяц вырос более чем на 50%. Ситуация повторилась в январе 2018-го на фоне абсолютных рекордов стоимости токенов. За этими атаками последовали кампании в мае и июне. Аналитики Qihoo 360 Netlab оценили доход всего одной стоящей за этими инцидентами группы более чем в $20 млн.

Многие производители ПО для майнинга и управления криптовалютами превентивно закрывают уязвимый порт или вовсе отказываются от использования JSON-RPC. Однако, как отмечают эксперты, эти угрозы не потеряют актуальность, пока такие меры не станут общепринятыми. В некоторых случаях ситуацию усугубляют и сами разработчики, у которых уходит до двух лет на то, чтобы закрыть брешь.

Атаки через интерфейс JSON-RPC угрожают не только владельцам криптоактивов. В январе 2018 года такая уязвимость нашлась в программном клиенте Blizzard, которым пользуются 500 млн человек. Брешь позволяла взломщикам перехватывать сетевой трафик жертвы и отправлять ей вредоносные файлы. Позднее подобную проблему нашли в двух приложениях uTorrent. В их случае преступники получали возможность выполнять на пользовательской машине сторонний код.

Источник: https://threatpost.ru/cryptomaniacs-under-hackers-scrutiny/29681/