Les attaques sur les plateformes de minage se multiplient alors que le prix de l’Ethereum s’écroule

ZDNet a appris aujourd’hui que des pirates informatiques avaient lancé une vaste campagne d’analyse des portefeuilles Ethereum et des équipements de cryptominage exposés à Internet.

 

Image: Troy Mursch 

La campagne de scan de masse fait rage depuis le 3 décembre, a déclaré à ZDNet Troy Mursch, cofondateur de Bad Packets LLC.

Les attaquants recherchent des appareils dont le port 8545 est exposé en ligne. Il s’agit du port standard pour l’interface JSON-RPC de nombreux portefeuilles et équipements de cryptominage Ethereum. Cette interface est une API de programmation que les applications et services installés localement peuvent interroger pour obtenir des informations relatives à l’extraction et aux fonds.

En théorie, cette interface de programmation ne devrait être exposée que localement, mais certaines applications de portefeuille et certains appareils de minages permettent l’accés sur toutes les interfaces. De plus, cette interface JSON-RPC, lorsqu’elle est activée, ne comporte pas non plus de mot de passe dans les configurations par défaut et compte sur l’utilisateur pour en mettre un en place.

Si le portefeuille Ethereum ou les appareils de minage ont été laissés exposés sur Internet, les attaquants peuvent envoyer des commandes à cette interface pour transférer les fonds des adresses Ethereum de la victime.

Cependant, le problème avec le port 8545 n’est pas nouveau. En août 2015, l’équipe Ethereum a envoyé un avis de sécurité à tous les utilisateurs d’Ethereum sur les dangers liés à l’utilisation d’un équipement de minage et du logiciel Ethereum exposant cette interface API sur Internet, recommandant aux utilisateurs de prendre des précautions en ajoutant un mot de passe à l’interface ou en utilisant un pare-feu pour filtrer le trafic entrant par le port 8545.

De nombreux vendeurs de machines de minage de cryptomonnaies et fabricants d’applications de portemonnaie ont pris des précautions pour limiter l’exposition du port 8545 ou ont totalement supprimé cette interface. Malheureusement, ce n’était pas un effort concerté de l’ ensemble de industrie et de nombreux appareils sont toujours exposés en ligne.

Malgré les avertissements de l’équipe Ethereum, de nombreux utilisateurs n’ont pas réussi à configurer correctement les clients Ethereum pour combler cette faille.

Si dans un premier temps, cette faille ne posait pas vraiment de problèmes, le prix d’Ethereum a atteint de nouveaux sommets peu de temps après, de même que les analyses et les attaques contre les clients Ethereum exposés. Des analyses massives ciblant le port 8545 ont été signalées en novembre 2017, janvier 2018, mai 2018 et juin 2018.

La société chinoise de cyber-sécurité Qihoo 360 Netlab a déclaré qu’un groupe derrière ces scans avait volé l’equivalent de 20 millions de dollars en Ether, au taux de change de juin 2018.

Toutes les analyses susmentionnées avaient un point commun: le prix d’Ethereum avait atteint des valeurs sans précédent au cours de ces périodes, atteignant 1 377 USD en janvier 2018.

Mais les analyses qui ont eu lieu au cours de la semaine dernière ne se font pas pendant une flambée du prix de l’Ethereum. La devise est actuellement évaluée à 90 $, un taux qu’Ethereum n’a pas vu depuis mai 2017.

« Malgré le fait que le prix de la crypto-monnaie s’écroule, l’argent gratuit est toujours gratuit, même si c’est quelques centimes par jour », a déclaré Mursch à ZDNet dans une interview accordée aujourd’hui.

Selon un graphique partagé par Mursch avec ZDNet, l’activité d’analyse a triplé par rapport au mois dernier.

 

Source: Capture d’écran du site web ISC SANS

 

Image: ZeroBS 

Le même triplement de l’activité d’analyse peut également être observé dans un graphique public basé sur les données du honeypot du projet ISC SANS et un autre graphique partagé par ZeroBS, une société allemande de sécurité des données.

Une recherche dans Shodan montre que près de 4 700 appareils (dont la plupart sont du matériel de minage Geth et des portefeuilles Parity) exposent actuellement leur port 8545.

En outre, des outils gratuits sont également disponibles pour exploiter et automatiser les analyses et les attaques sur les clients Ethereum via le port 8545.

Le taux de change Ethereum est peut-être en baisse, mais cela ne signifie pas pour autant que la crypto-monnaie est sans valeur. Les utilisateurs doivent prendre cet article comme un avertissement et apporter des modifications à la configuration de leur équipement de minage ou de leur portefeuille avant de découvrir qu’ils ont été volés pendant la nuit.

Cet article est une traduction de « Hackers ramp up attacks on mining rigs before Ethereum price crashes into the gutter » initialement publié sur ZDNet.com

Source