حملات بدافزاری تازه و باج گیری از استخراجکنندگان ASIC
بدافزار تازهای به نام اچ-اَنت ( H-Ant ) در چین شایع شده است که با در اختیارگرفتن کنترل سیستم حفاظت از گرمشدن بیش از حد دستگاه، به باجگرفتن از قربانیان خود اقدام میکند. تفاوت این بدافزار نسبت به بدافزارهای سنتی آن است که H-Ant برای غیرفعالشدن خود به جای ارزهای مرسوم، بیت کوین درخواست میکند. عامل گسترش این بدافزار به طور دقیق مشخص نیست اما گمان آن میرود که ناشی از اورکلاک سفارشی دستگاهها باشد.
براساس گزارشاتی از محققین امنیت سایبری، یک ویروس باج افزار تازه به صورت آزاد وجود دارد که استخراجکنندگان بیت کوین را هدف قرار میدهد. آنطور که ادعا شده، یک برنامه قفلکردن فایل به نام « اچ-اَنت » (H-Ant) مدلهای مشخصی از انت ماینر ها (Antminer) را در چین آلوده کرده است و اگر قربانی بهای آزادی از دست این بدافزار را نپردازد، نرمافزار دستگاه آلودهشده را تخریب خواهد کرد.
بدافزار تازهای به نام « اچ-اَنت » (H-Ant) اپراتورهای ریگهای ماینینگ در چین را مورد حمله قرار میدهد
سازندگان بدافزار، برای حملات خود هدف تازهای را در قالب عملیات استخراج بیتکوین یافتهاند. برخلاف بیشتر حملات بدافزاری سنتی که قربانیان بایستی برای پرداخت باج، سکه به دست آورند، قربانیان بدافزار « اچ-اَنت » (H-Ant) باید به مهاجمین رمز ارز پرداخت کنند. بدافزار H-Ant که به طور خاص برندهای مشخصی از ریگهای انت ماینر (Antminer) را هدف قرار میدهد، پیشتر برای اولین بار توسط متخصصین امنیت سایبری در آگوست ۲۰۱۸ کشف شد اما خود بدافزار تا این ماه شایع نشده بود. H-Ant میتواند به یک مدل S9، T9 و احتمالاً حتی L3 استخراجکنندگان لایتکوین (litecoin) حمله کند. گزارشات محدودی هم از استخراجکنندگان آوالون (Avalon) تحت برند « کانان » (Canaan) وجود داشته که در یکی از رسانههای محلی به نام Yibenchain به آن اشاره شده است.
براساس گزارشات، H-Ant به S9، T9 و احتمالاً استخراجکنندگان لایتکوین L3 حمله میکند. این ویروس همچنین استخراجکنندگان آوالون (Avalon) تحت برند کانان (Canaan) را آلوده کرده است.
این گزارش همچنین جزئیاتی را در این باره ارائه کرد که وقتی یک ریگ ماینینگ با ویروس H-Ant آلوده میشود، آن دستگاه به تصاحب ویروس درآمده و استخراج ارزهای رمزنگاری شده را متوقف خواهد کرد. پس از آن، اگر مالک دستگاه را به یک نمایشگر LCD متصل نماید، یک صفحهی اسپلش (splash) مانند آنچه در فیلم ماتریکس شاهد بودیم، آشکار خواهد شد و یادداشت بدافزار H-Ant به دو زبان انگلیسی و چینی بر روی آن نقش میبندد.
من H-Ant هستم » نسخهی انگلیسی یادداشت بدافزار توضیح میدهد: « من حمله به انتماینر شما را ادامه خواهم داد و زمانی که شما ماشین آلودهشده را به دستگاههای دیگری متصل کنید و سرور من تأیید کند که ۱۰ آیپی (IP) جدید وجود دارند و تعداد انت ماینرها به ۱۰۰۰ رسیده است، من از حمله به شما دست برخواهم داشت. من همچنین میتوانم حفاظت انت ماینر شما در مقابل گرمشدن بیش از حد را غیرفعال و فن آن را خاموش کنم که باعث سوختن دستگاه یا آتشسوزی در خانه میشود.
یادداشت بدافزار با ارائه یک پیشنهاد تصمیمگیری عجیب به قربانی H-Ant ادامه پیدا میکند:
بر روی دکمهی « دانلود پَچ Firmware » کلیک کنید تا پچ Firmware با ID مخصوص شما دانلود شود و سپس آن را بر روی Firmware انت ماینر معمول خود بهروزرسانی کنید تا آلوده شود. شما میتوانید ماشینی که پچ را بهروزرسانی کرده است، به فضای کامپیوتر دیگری بیاورید تا آلودگی را کامل کنید یا دیگران را به استفاده از پچ Firmware در گروه شبکه وادار کنید یا ۱۰ بیتکوین (BTC) بپردازید و در نتیجه من حمله را متوقف خواهم کرد.
صفحهی اسپلش اولیه H-Ant
اورکلاک سفارشی ثابتافزار میتواند علت ریشهای بدافزار H-Ant باشد
رسانه Yibenchain در گزارش خود جزئیاتی را بیان کرد که یک استخراجکننده با نام مستعار در ۵ ژانویه به این نشریه گفته است که رابط کاربری مدیریت نرمافزار استخراج او، صفحهی اسپلش H-Ant را نمایش داده است. او سپس بر روی صفحه کلیک کرده که یادداشت بدافزار برای درخواست ۱۰ بیتکوین (BTC) (معادل ۳۵ هزار دلار در زمان انتشار گزارش) به نمایش درآمده است. علاوه بر این، بنیانگذار استخر استخراج Btc.top، جیانگ ژوئوئر (Jiang Zhuo’er) به نشریهی خبری چینی ۸btc گفته است که استخراج کنندگان برای مدتی مشغول نظارت و بررسی این ویروس بودهاند. این آلودگی یک ویروس مبتنی بر لینوکس است که میتواند مسیر خود به درون فایلهای Frimware ریگ ماینینگ را به شکلی نسبتاً راحت پیدا کند.
یادداشت بدافزار H-Ant به زبان چینی و انگلیسی
جیانگ به تفصیل توضیح میدهد که ویروس ممکن است از یک سازنده ناشناس و از یک Frimware اورکلاک نشأت گرفته باشد. استخرهای استخراج اغلب برای افزایش نرخ هش کلی دستگاهشان، ماشینهای خود را « اورکلاک » میکنند. به عنوان نمونه، با اورکلاک سفارشی ثابتافزار یک انت ماینر S9 که با سرعت ۱۳.۵ تراهَش بر ثانیه (TH/s) پردازش میکند، میتواند بعد از اورکلاک تا ۱۸ تراهَش بر ثانیه (TH/s) تولید نماید. اورکلاککردن از سوی تولیدکنندگان ریگ ماینینگ توصیه نشده است اما استخرهای استخراج اغلب یک Frimware سفارشی را دانلود میکنند که اجازه چنین رفتاری را میدهد و ویروس H-Ant هم احتمالاً از چنین روندی سرچشمه میگیرد. جیانگ همچنین به ۸btc گفت که هکر ممکن است چینی نباشد و « تا حدودی شروع فعالیت ویروس را کنترل میکند. » بنیانگذار Btc.top باور دارد که H-Ant ممکن است از طریق یک سرویس ابری محبوب که توسط بایدو (Baidu) ارائه شده، شیوع کرده باشد.
جیانگ در طول این مصاحبه تأکید میکند:« این موضوع دو احتمال را پیش میکشد: هکر عامدانه چین را که استخراجهای بیتکوین در آن متمرکز هستند، هدف گرفته یا در حالت دوم، استخراجکنندگان چینی سهواً به گسترش ویروس کمک کردهاند پیش از آنکه متوجه شوند که Frimware اورکلاکشده آلوده بوده است. »
زمانی که پرسیده شد اگر حمله H-Ant میتواند بخشهای بزرگی از استخرها را که مشغول استخراج شبکههای استخراجشده محبوب SHA-256 هستند، تحت تأثیر قرار دهد؛ پس چرا مجریان استخر استخراج چندان نگران به نظر نمیرسند، او میگوید:
دیدن رخدادن این اتفاق سخت است. قدرت هش شبکه بیت کوین همچنان بسیار غیرمتمرکز و با استخراج کنندههای بیشمار میباشد، این به نسبت برای هکرها دشوار است تا حتی صرفاً موقعیت شبکه این استخراجها را پیدا کنند.
ویروس H-Ant براساس ادعاها همچنین یکی از تأسیسات استخراج چینی را آلوده کرده و طی چند دقیقه ۴۰۰۰ مورد از ابزارهای آن را گروگان گرفته است. با این حال، اگر چه ویروس یک ماشین را از فعالیت متوقف میکند اما همچنان میتوان آن را تعمیر کرد. گزارشها به جزئیات بیشتری اشاره میکنند که قربانی برای فلشکردن مجدد کارت SD ریگ ماینینگ و نصب یک نسخه پاک از Frimware به زمان نیاز دارد. البته در حین اینکه ماشین بهروزرسانی میشود، استخراجکننده همچنان به دلیل عدم فعالیت پول از دست میدهد.