Майнеры Ethereum могут быть атакованы ботнетом Satori

Операторы ботнета Satori массово сканируют Интернет на предмет уязвимых майнинговых ферм Ethereum.  Bleeping Computer ссылаясь на несколько источников поясняет, что мошенников интересуют открытый порт 3333, позволяющий совершать удаленное управление. 

Сканирование началось 11 мая, сообщают исследователи Netlab, которые первыми зафиксировали подозрительную активность и связали её с ботнетом Satori.

На следующий день аналитики GreyNoise предоставили дополнительную информацию, проанализировав поведение скомпрометированных устройств. Они сообщили, что злоумышленники ищут устройства, использующие майнинговый клиент Claymore.

«Как только атакующий определяет сервер, работающий под управлением ПО Claymore, он отправляет инструкции, чтобы изменить конфигурацию устройства, и подставляет свой ETH-кошелёк», — пишут они.

GreyNoise связывает наблюдаемое явление с группой IP-адресов из Мексики, принадлежащей двум интернет-провайдерам, тысячи GPON-роутеров которых за несколько дней до этого были атакованы пятью различным ботнетами и скомпрометированы.

Согласно имеющимся доказательствам, Satori использует GPON-роутеры для сканирования майнеров Claymore, запуска эксплойта и перенаправления добываемых Ethereum и Decred на собственные кошельки.

Исследователи Netlab подтвердили опубликованную GreyNoise информацию.

«Источником сканирования порта 3333 являются 17 000 независимых IP-адресов из Мексики, в основном принадлежащих Uninet SA de CV, telmex.com», — пишут они.

Добавить комментарий