Инфраструктура Electrum под DDoS-атакой

Публичные серверы, используемые сообществом Electrum, уже несколько дней работают с перебоями из-за DDoS-атаки. Судя по всему, злоумышленники предприняли эту акцию, чтобы заставить пользователей загрузить зараженную версию биткойн-кошелька, размещенную на специально созданных площадках.
По имеющимся данным, текущая атака проводится с использованием ботнета, который был построен на основе кастомного зловреда, имитирующего подключения Electrum-клиента. В создании DDoS-трафика на уровне приложений принимают участие 150-300 тыс. уникальных узлов (IP-адресов). На некоторых атакуемых серверах интенсивность мусорного потока составила 25 Гбит/с.
Конечной целью злоумышленников является кража криптовалюты. Они подняли собственные Electrum-серверы, на которых разместили забэкдоренную версию кошелька. При подключении к такому узлу пользователю предлагают обновить клиент, однако после установки «обновления» кошелек жертвы мгновенно пустеет. По оценкам, атакующим уже удалось украсть миллионы долларов в криптовалюте; один из пострадавших потерял почти $140 тыс.
Похожую кампанию против Electrum злоумышленники провели в конце прошлого года, но в тот раз они разместили свой «апдейт» на GitHub, и этот источник был довольно быстро заблокирован. Предотвращать переходы по вредоносным ссылкам помогал специализированный сервис Google SafeBrowsing. Разработчики Electrum тоже приняли меры защиты — в частности, создали патч, позволяющий блокчейн-серверу принудительно выводить устаревшие, уязвимые клиенты в оффлайн. Для полноценного функционирования Electrum-кошельку требуется 8-10 соединений, и высока вероятность, что один из этих серверов обладает новой возможностью.
Похоже, что инициаторы текущей кампании учли изменения на сервисе и ошибки своих предшественников (если только это не одни и те же лица). Вместо репозитория GitHub они используют подставные Electrum-серверы — защитники насчитали более 200 доменов, раздающих зловреда. Неспешно обновляемые черные списки SafeBrowsing на сей раз оказались малоэффективными. К тому же злоумышленники стараются максимально ограничить количество легитимных Electrum-серверов посредством DDoS-атаки. Чем больше их выйдет из строя, тем выше вероятность обращения клиента к вредоносному узлу.
Примечательно, что угроза заражения актуальна лишь для пользователей устаревших версий Electrum (ниже 3.3). К сожалению, на сервисе нет механизма автообновления, и уязвимых клиентов в сети много, что лишь на руку злоумышленникам.
Владельцев новейших версий кошелька в настоящее время беспокоят только проблемы с подключением к сервису. Администраторы прилагают все усилия, чтобы снизить ущерб от DDoS-атаки, и надеются восстановить работоспособность систем в ближайшие дни. Разработчики Electrum также подготовили патч, лимитирующий потребление ресурсов для IP-адресов.
Пользователям рекомендуется деактивировать функцию автоматического подключения и ограничить попытки открытия сессии одним сервером — лучше собственным. На настоящий момент сносно доступны следующие TLS-узлы:

electrum.hodlister.co:50002
electrum.hsmiths.com:50002
ecdsa.net:110
dxm.no-ip.biz:50002
btc.jochen-hoenicke.de:50002

Тем, кто давно не апгрейдил Electrum-клиент, не стоит полагаться на непрошеные подсказки: обновления всегда следует загружать только из официальных источников — в данном случае с сайта Electrum (electrum.org) или из GitHub-репозитория spesmilo/electrum.

Источник: https://threatpost.ru/electrum-servers-hit-by-a-ddos-attack/32195/