以太坊矿工受到Satori僵尸网络攻击

请点击此处输入图片描述

加密货币的价值不断上升无疑引诱了大批人群投资于风险资产类别，技术知情人员将先行一步建立他们自己的“采矿工具”。然而，黑客并不遥远，并且经常渗透计算系统为自己挖掘加密货币。

浏览器挖掘后，黑客瞄准矿工钻机

为了大大增加他们虚假获得的加密货币控股权，黑客将目标定位在全球范围内的以太坊矿工。可以理解的是，由于前者的处理能力较高，接管矿工对于黑客来说是一项重要的经济优势。

根据关于Bleeping Computers的报告，多名网络安全研究人员于2018年5月12日发现了一个以太坊矿工扫描Satori僵尸网络。该报告包括几条证据，表明成千上万物联网设备成为大规模攻击的受害者。

请点击此处输入图片描述

使用端口3333漏洞，黑客能够远程控制受害者的采矿设备。这个特定的端口允许矿工远程管理他们的设备。在2018年5月11日，Netlab的研究人员将端口漏洞与Satori僵尸网络联系起来，并通过推特告诫人们，声明：

你看到端口3333扫描流量增加吗？ Satori僵尸网络现在正在扫描它，请参阅我们的Scanmon趋势https://t.co/TyrL4ryt6J，并尝试使用它现在使用的控制域之一的dns查找，挖掘任...

- 360 Netlab（@ 360Netlab）2018年5月11日

2018年5月12日不久之后，伦敦的GreyNoise Intelligence公布了他们的研究结果，显示只有Claymore的以太坊矿工受到影响，清除了受影响矿工程度的担忧。据公司证实，运行其他软件的矿工不受影响。

请点击此处输入图片描述

GreyNoise今天观察到TCP端口3333扫描流量的大幅增长。这是“Claymore”以太坊/ Decred加密货币矿工的默认端口。

- GreyNoise Intelligence（@GreyNoiseIO）2018年5月11日

Claymore广泛流行的采矿软件

他选择的挖掘软件黑客瞄准的是一个深思熟虑的决定，因为个人和企业都在使用Claymore双重挖掘软件来同时挖掘像以太币（ETH）和Decred这样的加密货币。

正如GreyNoise所述：

“一旦攻击者识别出运行Claymore软件的服务器，他们会按照指示重新配置设备，以加入”矮人“采矿池并使用攻击者的ETH钱包。”

正因为如此，黑客能够将矿工钱包的所有利润提取到他们的钱包中。然而，一位有经验的矿工可能会注意到这个谬误，并立即纠正这个问题。

墨西哥IP地址被追查为攻击来源

经过进一步调查，GreyNoise将袭击的起源追溯到特定的IP地址，所有这些地址都源自墨西哥。在僵尸网络攻击前几天，这些地址被报告为欺诈访问，这大概是为了让僵尸网络能够控制GPON路由器。 Netlab证实了这一说法：

“这个3333端口扫描的来源是大约17k个独立IP地址，主要来自位于墨西哥的Uninet SA de CV，telmex.com。”

这个消息通过论坛和社交媒体迅速传播，用户迅速加入搜索攻击者的行列。互联网风暴中心的研究人员Johannes Ullrich发现了受影响程序的具体细节，并发现使用Nanopool版本的Claymore软件来开发网络