黑客使用默认 SSH 凭证控制以太坊采矿设备

更多全球网络安全资讯尽在E Security官网

E安全网11月4日电罗马尼亚网络安全公司Bitdefender设置的蜜罐检测结果显示，黑客大规模扫描互联网寻找以太坊（Ethereum）挖矿设备。 黑客使用这些凭据访问矿机并替换用户的以太坊钱包地址。 此后，更改钱包 ID 可以让挖矿后的收益流入攻击者的口袋以太坊恢复挖矿，而不是设备所有者的口袋。

螳螂捕蝉黄雀在后

Bitdefender 的蜜罐日志显示，攻击者尝试了两组罕见的 SSH 用户名和密码：ethos:live 和 root:live。 Bitdefender 在互联网上搜索以将这两个凭据的组合追溯到 ethOS。 ethOS是基于64位linux开发的专用挖矿系统。

Bitdefender 专家发现攻击者试图替换默认的挖矿钱包 ID。 攻击者的“bot”试图在被劫持的网络上执行完整命令。

虽然 ethOS 团队声称有超过 38,000 台采矿设备正在运行该操作系统，但并非所有设备都受到影响。 如果设备所有者修改此操作系统的默认凭据并将“矿工”置于防火墙之后，则可以防止进一步的攻击。 根据 Bitdefender 高级电子威胁分析师 Bogdan Botezatu 的说法，黑客的以太坊钱包（0xb4ada014279d9049707e9A51F022313290Ca1276）总共只有 10 笔交易，总计价值 611 美元的以太币。 Botezatu 警告说，如果运行基于 ethOS 的以太矿工，用户应该修改默认登录凭据。

挖矿设备这么贵，为什么不提高安全意识呢？

今年 9 月，安全公司 ESET 发现威胁行为者不断在互联网上扫描未打补丁的 IIS 6.0 服务器以安装门罗币矿机，攻击者从中赚取超过 63,000 美元的门罗币。

卡巴斯基还透露，该黑客组织利用 CryptoShuffler 木马监控电脑的剪贴板并替换加密货币钱包 ID，从而赚取超过 15 万美元的比特币。

今年 4 月以太坊恢复挖矿，安全研究人员在比特大陆 Antminer 加密货币矿机的固件中发现了一个隐藏的后门。 这个漏洞被称为“Antminer”。 比特大陆发布了固件更新来解决这个问题。

今年8月底，安全专家维克多·盖弗斯（Victor Gevers）发现，3000多台矿机的Telnet端口暴露在互联网上，没有设置密码，其中大部分位于中国。 Rapid7 National Exposure Index 显示，超过 2000 万台带有 SSH 端口的设备暴露在互联网中。 Wordfence 最近发现威胁行为者会扫描 WordPress 站点以查找可能包含 SSH 私钥的文件夹。