حملات بدافزاری تازه و باج گیری از استخراج‌کنندگان ASIC

بدافزار تازه‌ای به نام اچ-اَنت ( H-Ant ) در چین شایع شده است که با در اختیارگرفتن کنترل سیستم حفاظت از گرم‌شدن بیش از حد دستگاه، به باج‌گرفتن از قربانیان خود اقدام می‌کند. تفاوت این بدافزار نسبت به بدافزارهای سنتی آن است که H-Ant برای غیرفعال‌شدن خود به جای ارزهای مرسوم، بیت کوین درخواست می‌کند. عامل گسترش این بدافزار به طور دقیق مشخص نیست اما گمان آن می‌رود که ناشی از اورکلاک سفارشی دستگاه‌ها باشد.

0 103

براساس گزارشاتی از محققین امنیت سایبری، یک ویروس باج افزار تازه به صورت آزاد وجود دارد که استخراج‌کنندگان بیت کوین را هدف قرار می‌دهد. آنطور که ادعا شده، یک برنامه قفل‌کردن فایل به نام « اچ-اَنت » (H-Ant) مدل‌های مشخصی از انت ماینر ها (Antminer) را در چین آلوده کرده است و اگر قربانی بهای آزادی از دست این بدافزار را نپردازد، نرم‌افزار دستگاه آلوده‌شده را تخریب خواهد کرد.

بدافزار تازه‌ای به نام « اچ-اَنت » (H-Ant) اپراتورهای ریگ‌های ماینینگ در چین را مورد حمله قرار می‌دهد

سازندگان بدافزار، برای حملات خود هدف تازه‌ای را در قالب عملیات استخراج بیت‌کوین یافته‌اند. برخلاف بیشتر حملات بدافزاری سنتی که قربانیان بایستی برای پرداخت باج، سکه به دست آورند، قربانیان بدافزار « اچ-اَنت » (H-Ant) باید به مهاجمین رمز ارز پرداخت کنند. بدافزار H-Ant که به طور خاص برندهای مشخصی از ریگ‌های انت ماینر (Antminer) را هدف قرار می‌دهد، پیش‌تر برای اولین بار توسط متخصصین امنیت سایبری در آگوست 2018 کشف شد اما خود بدافزار تا این ماه شایع نشده بود. H-Ant می‌تواند به یک مدل S9، T9 و احتمالاً حتی L3 استخراج‌کنندگان لایت‌کوین (litecoin) حمله کند. گزارشات محدودی هم از استخراج‌کنندگان آوالون (Avalon) تحت برند « کانان » (Canaan) وجود داشته که در یکی از رسانه‌های محلی به نام Yibenchain به آن اشاره شده است.

New Malware Attacks Hold ASIC Miners to Ransom

براساس گزارشات، H-Ant به S9، T9 و احتمالاً استخراج‌کنندگان لایت‌کوین L3 حمله می‌کند. این ویروس همچنین استخراج‌کنندگان آوالون (Avalon) تحت برند کانان (Canaan) را آلوده کرده است.

این گزارش همچنین جزئیاتی را در این باره ارائه کرد که وقتی یک ریگ ماینینگ با ویروس H-Ant آلوده می‌شود، آن دستگاه به تصاحب ویروس درآمده و استخراج ارزهای رمزنگاری شده را متوقف خواهد کرد. پس از آن، اگر مالک دستگاه را به یک نمایشگر LCD متصل نماید، یک صفحه‌ی اسپلش (splash) مانند آنچه در فیلم ماتریکس شاهد بودیم، آشکار خواهد شد و یادداشت بدافزار H-Ant به دو زبان انگلیسی و چینی بر روی آن نقش می‌بندد.

من H-Ant هستم » نسخه‌ی انگلیسی یادداشت بدافزار توضیح می‌دهد: « من حمله به انت‌ماینر شما را ادامه خواهم داد و زمانی که شما ماشین آلوده‌شده را به دستگاه‌های دیگری متصل کنید و سرور من تأیید کند که 10 آی‌پی (IP) جدید وجود دارند و تعداد انت ماینرها به 1000 رسیده است، من از حمله به شما دست برخواهم داشت. من همچنین می‌توانم حفاظت انت ماینر شما در مقابل گرم‌شدن بیش از حد را غیرفعال و فن آن را خاموش کنم که باعث سوختن دستگاه یا آتش‌سوزی در خانه می‌شود.

یادداشت بدافزار با ارائه یک پیشنهاد تصمیم‌گیری عجیب به قربانی H-Ant ادامه پیدا می‌کند:

بر روی دکمه‌ی « دانلود پَچ Firmware » کلیک کنید تا پچ Firmware با ID مخصوص شما دانلود شود و سپس آن را بر روی Firmware انت ماینر معمول خود به‌روزرسانی کنید تا آلوده شود. شما می‌توانید ماشینی که پچ را به‌روزرسانی کرده است، به فضای کامپیوتر دیگری بیاورید تا آلودگی را کامل کنید یا دیگران را به استفاده از پچ Firmware در گروه شبکه وادار کنید یا 10 بیت‌کوین (BTC) بپردازید و در نتیجه من حمله را متوقف خواهم کرد.

New Malware Attacks Hold ASIC Miners to Ransom

صفحه‌ی اسپلش اولیه‌ H-Ant

اورکلاک سفارشی ثابت‌افزار می‌تواند علت ریشه‌ای بدافزار H-Ant باشد

رسانه Yibenchain در گزارش خود جزئیاتی را بیان کرد که یک استخراج‌کننده با نام مستعار در 5 ژانویه به این نشریه گفته است که رابط کاربری مدیریت نرم‌افزار استخراج او، صفحه‌ی اسپلش H-Ant را نمایش داده است. او سپس بر روی صفحه کلیک کرده که یادداشت بدافزار برای درخواست 10 بیت‌کوین (BTC) (معادل 35 هزار دلار در زمان انتشار گزارش) به نمایش درآمده است. علاوه بر این، بنیان‌گذار استخر استخراج Btc.top، جیانگ ژوئوئر (Jiang Zhuo’er) به نشریه‌ی خبری چینی 8btc گفته است که استخراج کنندگان برای مدتی مشغول نظارت و بررسی این ویروس بوده‌اند. این آلودگی یک ویروس مبتنی بر لینوکس است که می‌تواند مسیر خود به درون فایل‌های Frimware ریگ ماینینگ را به شکلی نسبتاً راحت پیدا کند.

New Malware Attacks Hold ASIC Miners to Ransom

یادداشت بدافزار H-Ant به زبان چینی و انگلیسی

جیانگ به تفصیل توضیح می‌دهد که ویروس ممکن است از یک سازنده‌ ناشناس و از یک Frimware اورکلاک نشأت گرفته باشد. استخرهای استخراج اغلب برای افزایش نرخ هش کلی دستگاهشان، ماشین‌های خود را « اورکلاک » می‌کنند. به عنوان نمونه، با اورکلاک سفارشی ثابت‌افزار یک انت ماینر S9 که با سرعت 13.5 تراهَش بر ثانیه (TH/s) پردازش می‌کند، می‌تواند بعد از اورکلاک تا 18 تراهَش بر ثانیه (TH/s) تولید نماید. اورکلاک‌کردن از سوی تولیدکنندگان ریگ ماینینگ توصیه نشده است اما استخرهای استخراج اغلب یک Frimware سفارشی را دانلود می‌کنند که اجازه‌ چنین رفتاری را می‌دهد و ویروس H-Ant هم احتمالاً از چنین روندی سرچشمه می‌گیرد. جیانگ همچنین به 8btc گفت که هکر ممکن است چینی نباشد و « تا حدودی شروع فعالیت ویروس را کنترل می‌کند. » بنیان‌گذار Btc.top باور دارد که H-Ant ممکن است از طریق یک سرویس ابری محبوب که توسط بایدو (Baidu) ارائه شده، شیوع کرده باشد.

جیانگ در طول این مصاحبه تأکید می‌کند:« این موضوع دو احتمال را پیش می‌کشد: هکر عامدانه چین را که استخراج‌های بیت‌کوین در آن متمرکز هستند، هدف گرفته یا در حالت دوم، استخراج‌کنندگان چینی سهواً به گسترش ویروس کمک کرده‌اند پیش از آنکه متوجه شوند که Frimware اورکلاک‌شده آلوده بوده است. »

زمانی که پرسیده شد اگر حمله‌ H-Ant می‌تواند بخش‌های بزرگی از استخرها را که مشغول استخراج شبکه‌های استخراج‌شده‌ محبوب SHA-256 هستند، تحت تأثیر قرار دهد؛ پس چرا مجریان استخر استخراج چندان نگران به نظر نمی‌رسند، او می‌گوید:

دیدن رخ‌دادن این اتفاق سخت است. قدرت هش شبکه‌ بیت کوین همچنان بسیار غیرمتمرکز و با استخراج کننده‌های بی‌شمار می‌باشد، این به نسبت برای هکرها دشوار است تا حتی صرفاً موقعیت شبکه این استخراج‌ها را پیدا کنند.

ویروس H-Ant براساس ادعاها همچنین یکی از تأسیسات استخراج چینی را آلوده کرده و طی چند دقیقه 4000 مورد از ابزارهای آن را گروگان گرفته است. با این حال، اگر چه ویروس یک ماشین را از فعالیت متوقف می‌کند اما همچنان می‌توان آن را تعمیر کرد. گزارش‌ها به جزئیات بیشتری اشاره می‌کنند که قربانی برای فلش‌کردن مجدد کارت SD ریگ ماینینگ و نصب یک نسخه‌ پاک از Frimware به زمان نیاز دارد. البته در حین اینکه ماشین به‌روزرسانی می‌شود، استخراج‌کننده همچنان به دلیل عدم فعالیت پول از دست می‌دهد.

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.