حملات بدافزاری تازه و باج گیری از استخراج‌کنندگان ASIC

براساس گزارشاتی از محققین امنیت سایبری، یک ویروس باج افزار تازه به صورت آزاد وجود دارد که استخراج‌کنندگان بیت کوین را هدف قرار می‌دهد. آنطور که ادعا شده، یک برنامه قفل‌کردن فایل به نام « اچ-اَنت » (H-Ant) مدل‌های مشخصی از انت ماینر ها (Antminer) را در چین آلوده کرده است و اگر قربانی بهای آزادی از دست این بدافزار را نپردازد، نرم‌افزار دستگاه آلوده‌شده را تخریب خواهد کرد.

بدافزار تازه‌ای به نام « اچ-اَنت » (H-Ant) اپراتورهای ریگ‌های ماینینگ در چین را مورد حمله قرار می‌دهد

سازندگان بدافزار، برای حملات خود هدف تازه‌ای را در قالب عملیات استخراج بیت‌کوین یافته‌اند. برخلاف بیشتر حملات بدافزاری سنتی که قربانیان بایستی برای پرداخت باج، سکه به دست آورند، قربانیان بدافزار « اچ-اَنت » (H-Ant) باید به مهاجمین رمز ارز پرداخت کنند. بدافزار H-Ant که به طور خاص برندهای مشخصی از ریگ‌های انت ماینر (Antminer) را هدف قرار می‌دهد، پیش‌تر برای اولین بار توسط متخصصین امنیت سایبری در آگوست 2018 کشف شد اما خود بدافزار تا این ماه شایع نشده بود. H-Ant می‌تواند به یک مدل S9، T9 و احتمالاً حتی L3 استخراج‌کنندگان لایت‌کوین (litecoin) حمله کند. گزارشات محدودی هم از استخراج‌کنندگان آوالون (Avalon) تحت برند « کانان » (Canaan) وجود داشته که در یکی از رسانه‌های محلی به نام Yibenchain به آن اشاره شده است.

براساس گزارشات، H-Ant به S9، T9 و احتمالاً استخراج‌کنندگان لایت‌کوین L3 حمله می‌کند. این ویروس همچنین استخراج‌کنندگان آوالون (Avalon) تحت برند کانان (Canaan) را آلوده کرده است.

این گزارش همچنین جزئیاتی را در این باره ارائه کرد که وقتی یک ریگ ماینینگ با ویروس H-Ant آلوده می‌شود، آن دستگاه به تصاحب ویروس درآمده و استخراج ارزهای رمزنگاری شده را متوقف خواهد کرد. پس از آن، اگر مالک دستگاه را به یک نمایشگر LCD متصل نماید، یک صفحه‌ی اسپلش (splash) مانند آنچه در فیلم ماتریکس شاهد بودیم، آشکار خواهد شد و یادداشت بدافزار H-Ant به دو زبان انگلیسی و چینی بر روی آن نقش می‌بندد.

یادداشت بدافزار با ارائه یک پیشنهاد تصمیم‌گیری عجیب به قربانی H-Ant ادامه پیدا می‌کند:

بر روی دکمه‌ی « دانلود پَچ Firmware » کلیک کنید تا پچ Firmware با ID مخصوص شما دانلود شود و سپس آن را بر روی Firmware انت ماینر معمول خود به‌روزرسانی کنید تا آلوده شود. شما می‌توانید ماشینی که پچ را به‌روزرسانی کرده است، به فضای کامپیوتر دیگری بیاورید تا آلودگی را کامل کنید یا دیگران را به استفاده از پچ Firmware در گروه شبکه وادار کنید یا 10 بیت‌کوین (BTC) بپردازید و در نتیجه من حمله را متوقف خواهم کرد.

صفحه‌ی اسپلش اولیه‌ H-Ant

اورکلاک سفارشی ثابت‌افزار می‌تواند علت ریشه‌ای بدافزار H-Ant باشد

رسانه Yibenchain در گزارش خود جزئیاتی را بیان کرد که یک استخراج‌کننده با نام مستعار در 5 ژانویه به این نشریه گفته است که رابط کاربری مدیریت نرم‌افزار استخراج او، صفحه‌ی اسپلش H-Ant را نمایش داده است. او سپس بر روی صفحه کلیک کرده که یادداشت بدافزار برای درخواست 10 بیت‌کوین (BTC) (معادل 35 هزار دلار در زمان انتشار گزارش) به نمایش درآمده است. علاوه بر این، بنیان‌گذار استخر استخراج Btc.top، جیانگ ژوئوئر (Jiang Zhuo’er) به نشریه‌ی خبری چینی 8btc گفته است که استخراج کنندگان برای مدتی مشغول نظارت و بررسی این ویروس بوده‌اند. این آلودگی یک ویروس مبتنی بر لینوکس است که می‌تواند مسیر خود به درون فایل‌های Frimware ریگ ماینینگ را به شکلی نسبتاً راحت پیدا کند.

یادداشت بدافزار H-Ant به زبان چینی و انگلیسی

جیانگ به تفصیل توضیح می‌دهد که ویروس ممکن است از یک سازنده‌ ناشناس و از یک Frimware اورکلاک نشأت گرفته باشد. استخرهای استخراج اغلب برای افزایش نرخ هش کلی دستگاهشان، ماشین‌های خود را « اورکلاک » می‌کنند. به عنوان نمونه، با اورکلاک سفارشی ثابت‌افزار یک انت ماینر S9 که با سرعت 13.5 تراهَش بر ثانیه (TH/s) پردازش می‌کند، می‌تواند بعد از اورکلاک تا 18 تراهَش بر ثانیه (TH/s) تولید نماید. اورکلاک‌کردن از سوی تولیدکنندگان ریگ ماینینگ توصیه نشده است اما استخرهای استخراج اغلب یک Frimware سفارشی را دانلود می‌کنند که اجازه‌ چنین رفتاری را می‌دهد و ویروس H-Ant هم احتمالاً از چنین روندی سرچشمه می‌گیرد. جیانگ همچنین به 8btc گفت که هکر ممکن است چینی نباشد و « تا حدودی شروع فعالیت ویروس را کنترل می‌کند. » بنیان‌گذار Btc.top باور دارد که H-Ant ممکن است از طریق یک سرویس ابری محبوب که توسط بایدو (Baidu) ارائه شده، شیوع کرده باشد.

جیانگ در طول این مصاحبه تأکید می‌کند:« این موضوع دو احتمال را پیش می‌کشد: هکر عامدانه چین را که استخراج‌های بیت‌کوین در آن متمرکز هستند، هدف گرفته یا در حالت دوم، استخراج‌کنندگان چینی سهواً به گسترش ویروس کمک کرده‌اند پیش از آنکه متوجه شوند که Frimware اورکلاک‌شده آلوده بوده است. »

زمانی که پرسیده شد اگر حمله‌ H-Ant می‌تواند بخش‌های بزرگی از استخرها را که مشغول استخراج شبکه‌های استخراج‌شده‌ محبوب SHA-256 هستند، تحت تأثیر قرار دهد؛ پس چرا مجریان استخر استخراج چندان نگران به نظر نمی‌رسند، او می‌گوید:

ویروس H-Ant براساس ادعاها همچنین یکی از تأسیسات استخراج چینی را آلوده کرده و طی چند دقیقه 4000 مورد از ابزارهای آن را گروگان گرفته است. با این حال، اگر چه ویروس یک ماشین را از فعالیت متوقف می‌کند اما همچنان می‌توان آن را تعمیر کرد. گزارش‌ها به جزئیات بیشتری اشاره می‌کنند که قربانی برای فلش‌کردن مجدد کارت SD ریگ ماینینگ و نصب یک نسخه‌ پاک از Frimware به زمان نیاز دارد. البته در حین اینکه ماشین به‌روزرسانی می‌شود، استخراج‌کننده همچنان به دلیل عدم فعالیت پول از دست می‌دهد.