Требовал 10 BTC, заразил 4000 ригов. Все о вирусах на ASIC
Виды вирусов на ASIC. Разбираемся: как отследить, удалить и предотвратить атаку?
В 2019 году появилась и начала активно распространяться прошивка для Antminer S9. Ее невероятная особенность заключалась в том, что она могла разгонять ASIC с 13,5 Th/s до 18 Th/s. Майнеры были впечатлены такими возможностями и принялись массово скупать прошивку на свои устройства.
Однако их настигло большое разочарование. Помимо того, что прошивка не соответствовала своим представленным функциям, она оказалась вредоносной. Сразу после активации прошивки с майнерами связывался троян-шантажист hAnt и просил отправить ему 10 BTC. Пользователям, которые были не согласны выполнить требования, злоумышленник угрожал перегревом устройств и выводом их из строя.
От атак хакера пострадало не только огромное количество майнеров – в числе жертв также оказались и крупные майнинговые фирмы, например, компания BTC.Top, в которой hAnt заразил 4000 ригов за считанные минуты.
Проблема атак на майнинг-устройства остается актуальной и сегодня. Хакеры регулярно создают и модифицируют вирусы, что увеличивает риск майнеров столкнуться с атакой, которая может привести к катастрофичным последствиям.
Типы вирусов на ASIC-устройствах
- Трояны. Именно про этот вирус идет речь в начале статьи. Трояны встраиваются в прошивки Асиков. Вирус не позволяет пользователю сменить адрес на свой и сбросить конфигурацию адреса. Также опасный момент заключается в том, что троян делает невозможным обновление прошивки.
- Вирус, изменяющий конфигурацию ASIC. Изменение конфигурации ASIC может привести к таким последствиям, как нарушение работы устройства или его несовместимость с другими компонентами системы и ухудшение характеристик устройства, таких как скорость, потребляемая мощность, эффективность и др.
- Asic Antibuild Virus. Этот вирус нацелен на оборудование Bitmain. Проявляется он не сразу, а лишь через какое-то время. Опасность вируса состоит в том, что он незаметно меняет адрес майнера на адрес хакера. Antibuils может воровать от 5% до 50% хешрейта и при этом не подавать никаких признаков своего присутствия. Вирусу достаточно попасть на одно устройство, чтобы быстро распространиться по сети и заразить всю ферму.
Вместе с развитием майнингового оборудования модифицировал и Antibuild. Появились две его усовершенствованные версии:
- Antibuild 2. Вирус препятствует загрузке с SD-карты и изменяет системные бинарники и скрипты.
- Antibuild 3. Делает то же самое, что и Antibuild 2, но также блокирует возможность ввода команд в u-boot для восстановления через UART.
Как понять, что ваш асик заражен?
- Хешрейт вашего устройства отличается от хешрейта пула более чем на 15-20%.
- Изменение стратум-адресов на сторонние
- Доходность фермы снизилась
- Устройство нельзя перепрошить при помощи microSD карты и веб-пакета прошивки.
- Версия устройства остается прежней после перепрошивки, отсутствуют изменения в данных конфигурации
- Загорание индикаторов по контрольной плате без промежутка по времени либо с интервалом 7-9 секунд.
Как защитить майнинг-устройство от вирусов?
- Забудьте про ненадежные прошивки. Если вам обещают увеличение доходности на 50% с помощью прошивки — это повод задуматься. Проверяйте информацию на майнинг-форумах и чатах.
- Будьте осторожными с Б/У асиками. Подключать его рекомендуется отдельно и обязательно с антивирусом. Отслеживайте его работу в течение нескольких дней.
- Не майните щиткоины. Не устанавливайте ноды от новых “топовых” монет очень часто.
- Установите брандмауэр. Установка надежного брандмауэра со строгими сетевыми правилами – это самый лучший способ остановить атаку даже одной зараженной рабочей станции на всю вашу сеть и, соответственно, на все ваше майнинговое оборудование.
- Используйте антивирусное ПО. Установите антивирусное программное обеспечение на компьютер, подключенный к майнеру. Это может помочь защитить ваш майнер от заражения вирусами.
- Ограничьте доступ к майнеру. Если вы используете удаленный доступ к майнеру, убедитесь, что доступ к управлению майнером ограничен только для нужных вам IP-адресов.
- Мониторьте сетевую активность. Следите за сетевой активностью вашего майнера и наличием необычных процессов в системе.
- Резервное копирование. Делайте резервные копии конфигурации майнера, чтобы в случае заражения вирусом можно было быстро восстановить работу устройства.
Что делать, если ASIC заразился вирусом
Для удаления хакерского софта с ASIC потребуются две программы (WinSCP и PuTTy ) и не более 20 минут.
- Откройте настройки WinSCP и выберите соединение SCP, затем введите IP-адрес ASIC и учетные данные для получения доступа.
- Перейдите в папку /config и просмотрите ее содержимое. Если вы найдете файл bNminer.conf, удалите его.
- Откройте dropbear и замените параметр NO_START= на 0 в соответствующей строке.
- Создайте новый каталог в папке /tmp и скопируйте в него разархивированную прошивку.
- На следующем этапе вам понадобится программа PuTTy. Введите IP-адрес ASIC и подключитесь к устройству.
- Введите следующие команды: cd /tmp/123 → chmod +x runme.sh →. /runme.sh → reboot
После выполнения этих шагов вы избавитесь от хакерского софта на своем ASIC.
Также для обработки и устранения атаки вы можете выполнить три шага:
- Поместите свою сеть в карантин. Важно удалить зараженные ПК или майнеры из сети или добавить их в «карантинную сеть». В противном случае вирус будет распространяться, заражая другие компьютеры в сети.
- Восстановите заводские настройки. Используйте SD-карту, чтобы сбросить майнер к заводским настройкам и перепрошить майнер.
- Смените пароль. После сброса майнера первое, что вам нужно сделать, это изменить пароль майнера на надежный и безопасный пароль.
Чтобы защитить свои устройства и данные, следует соблюдать несколько основных правил: использовать надежное программное обеспечение, регулярно обновлять прошивку и приложения, использовать сложные пароли и не делиться ими с другими людьми.
Также рекомендуется использовать многофакторную аутентификацию и проверять активность своих устройств на предмет несанкционированных действий.