Хакер #305. Многошаговые SQL-инъекции
Среди всех афёр с биткоинами в последнее время одна выделяется особо: украсть интернет-трафик почти двух десятков интернет-компаний специально для того, заполучить несколько сотен чужих биткоинов? Это действительно нечто из ряда вон выходящее.
Специалисты по информационной безопасности из компании Dell SecureWorks выявили ряд инцидентов, в которых злоумышленники перенаправили часть трафика как минимум 19 интернет-провайдеров, в том числе облачных провайдеров Amazon, DigitalOcean и OVH, чтобы украсть криптовалюту.
Каждый раз форвардинг трафика продолжался не более 30 секунд, хакеры осуществили 22 такие атаки, каждый раз получая во временное управление вычислительные мощности майнинговых пулов. В частности, компьютеры из майнинг-пула перенаправляли на другой командный сервер, который переводил сгенерированную криптовалюту на свой счёт.
Многие пользователи неделями не проверяют статистику на сайте майнинг-пула, так что они могли лишиться довольно значительной части заработанных денег.
Атакующие специализировались на атаках именно против майнинг-пулов. В один из дней злоумышленникам удалось получить биткоинов и других видов криптовалюты, включая Dogecoin и Worldcoin, на сумму $9000. Всего же за всё время деятельности они заработали около $83 000.
По мнению специалистов Dell SecureWorks, хакеры применили атаку на BGP-маршрутизаторы (BGP hijacking), используя уязвимости в протоколе BGP (Border Gateway Protocol), который применяется для маршрутизации трафика между большими сегментами интернета. Для публикации ложных инструкций в таблицы маршрутизации BGP они использовали взломанный аккаунт сотрудника одного из канадских интернет-провайдеров (возможно, сотрудник и сам причастен к этой афёре, покажет следствие).
Атаки осуществлялись с февраля по май 2014 года. Специалисты Dell SecureWorks не называют, какой конкретно интернет-провайдер оказался вовлечён в эту операцию, но они передали информацию в правоохранительные органы.
Техника атаки на BGP-маршрутизаторы известна давно. Например, в 2013 году некто использовал этот метод для перенаправления части американского интернет-трафика в Исландию и Беларусь.