Хакеры воровали криптовалюту подменой BGP-анонсов mining pool’ов

По информации от команды Dell SecureWorks Counter Threat Unit, неизвестные лица анонсировали IP-адреса крупных mining pool'ов криптовалют Bitcoin, Dogecoin, HoboNickels и Worldcoin в течение 4 месяцев: с 3 февраля по 12 мая 2014 года. Провернуть такое было возможно из-за отсутствия как проверки подлинности сервера, так и шифрования в протоколе Stratum, который используется большинством пулов.

Первые ноты подозрительной активности заметил пользователь caution с форума bitcointalk ^[1] 22 марта. Его майнеры подключились к неизвестному IP-адресу и, по какой-то причине, перестали майнить.

Злоумышленники анонсировали IP-адреса пулов только на короткое время, вероятно, всего в течение нескольких минут или секунд, завершали TCP-соединение, всем переподключившимся майнерам отправляли команду reconnect с указанием адреса своего mining pool, затем убирали анонс. Всего им удалось заполучить около $83000 за все 4 месяца.

BGP-анонсы производились с одного ISP в Канаде. Через 3 дня после оповещения ISP, подмены прекратились. На настоящий момент неизвестно, кто их совершал. Есть три версии:

• Работник ISP
• Уволенный работник ISP, у которого остался доступ на маршрутизаторы
• Хакер

Более подробная информация на сайте Dell SecureWorks ^[2]

Автор: ValdikSS

Источник ^[3]