Требовал 10 BTC, заразил 4000 ригов. Все о вирусах на ASIC

Виды вирусов на ASIC. Разбираемся: как отследить, удалить и предотвратить атаку?

В 2019 году появилась и начала активно распространяться прошивка для Antminer S9. Ее невероятная особенность заключалась в том, что она могла разгонять ASIC с 13,5 Th/s до 18 Th/s. Майнеры были впечатлены такими возможностями и принялись массово скупать прошивку на свои устройства.

Однако их настигло большое разочарование. Помимо того, что прошивка не соответствовала своим представленным функциям, она оказалась вредоносной. Сразу после активации прошивки с майнерами связывался троян-шантажист hAnt и просил отправить ему 10 BTC. Пользователям, которые были не согласны выполнить требования, злоумышленник угрожал перегревом устройств и выводом их из строя.

От атак хакера пострадало не только огромное количество майнеров – в числе жертв также оказались и крупные майнинговые фирмы, например, компания BTC.Top, в которой hAnt заразил 4000 ригов за считанные минуты.

Проблема атак на майнинг-устройства остается актуальной и сегодня. Хакеры регулярно создают и модифицируют вирусы, что увеличивает риск майнеров столкнуться с атакой, которая может привести к катастрофичным последствиям.

Типы вирусов на ASIC-устройствах

1. Трояны. Именно про этот вирус идет речь в начале статьи. Трояны встраиваются в прошивки Асиков. Вирус не позволяет пользователю сменить адрес на свой и сбросить конфигурацию адреса. Также опасный момент заключается в том, что троян делает невозможным обновление прошивки. 

2. Вирус, изменяющий конфигурацию ASIC.  Изменение конфигурации ASIC может привести к таким последствиям, как нарушение работы устройства или его несовместимость с другими компонентами системы и ухудшение характеристик устройства, таких как скорость, потребляемая мощность, эффективность и др.

3. Asic Antibuild Virus. Этот вирус нацелен на оборудование Bitmain. Проявляется он не сразу, а лишь через какое-то время. Опасность вируса состоит в том, что он незаметно меняет адрес майнера на адрес хакера. Antibuils может воровать от 5% до 50% хешрейта и при этом не подавать никаких признаков своего присутствия. Вирусу достаточно попасть на одно устройство, чтобы быстро распространиться по сети и заразить всю ферму.

Вместе с развитием майнингового оборудования модифицировал и Antibuild. Появились две его усовершенствованные версии:

• Antibuild 2.  Вирус препятствует загрузке с SD-карты и изменяет системные бинарники и скрипты. 
• Antibuild 3. Делает то же самое, что и Antibuild 2, но также блокирует возможность ввода команд в u-boot для восстановления через UART.

Как понять, что ваш асик заражен?

1. Хешрейт вашего устройства отличается от хешрейта пула более чем на 15-20%.
2. Изменение стратум-адресов на сторонние
3. Доходность фермы снизилась
4. Устройство нельзя перепрошить при помощи microSD карты и веб-пакета прошивки.
5. Версия устройства остается прежней после перепрошивки, отсутствуют изменения в данных конфигурации
6. Загорание индикаторов по контрольной плате без промежутка по времени либо с интервалом 7-9 секунд.

Как защитить майнинг-устройство от вирусов?

• Забудьте про ненадежные прошивки. Если вам обещают увеличение доходности на 50% с помощью прошивки — это повод задуматься. Проверяйте информацию на майнинг-форумах и чатах.
• Будьте осторожными с Б/У асиками. Подключать его рекомендуется отдельно и обязательно с антивирусом. Отслеживайте его работу в течение нескольких дней.
• Не майните щиткоины. Не устанавливайте ноды от новых “топовых” монет очень часто.
• Установите брандмауэр. Установка надежного брандмауэра со строгими сетевыми правилами – это самый лучший способ остановить атаку даже одной зараженной рабочей станции на всю вашу сеть и, соответственно, на все ваше майнинговое оборудование.
• Используйте антивирусное ПО. Установите антивирусное программное обеспечение на компьютер, подключенный к майнеру. Это может помочь защитить ваш майнер от заражения вирусами.
•  Ограничьте доступ к майнеру. Если вы используете удаленный доступ к майнеру, убедитесь, что доступ к управлению майнером ограничен только для нужных вам IP-адресов.
•  Мониторьте сетевую активность. Следите за сетевой активностью вашего майнера и наличием необычных процессов в системе.
•  Резервное копирование. Делайте резервные копии конфигурации майнера, чтобы в случае заражения вирусом можно было быстро восстановить работу устройства.

Что делать, если ASIC заразился вирусом

Для удаления хакерского софта с ASIC потребуются две программы (WinSCP и PuTTy ) и не более 20 минут. 

1. Откройте настройки WinSCP и выберите соединение SCP, затем введите IP-адрес ASIC и учетные данные для получения доступа.
2. Перейдите в папку /config и просмотрите ее содержимое. Если вы найдете файл bNminer.conf, удалите его.
3. Откройте dropbear и замените параметр NO_START= на 0 в соответствующей строке.
4. Создайте новый каталог в папке /tmp и скопируйте в него разархивированную прошивку.
5. На следующем этапе вам понадобится программа PuTTy. Введите IP-адрес ASIC и подключитесь к устройству.
6.  Введите следующие команды: cd /tmp/123 → chmod +x runme.sh →. /runme.sh → reboot

После выполнения этих шагов вы избавитесь от хакерского софта на своем ASIC.

Также для обработки и устранения атаки вы можете выполнить три шага:

1. Поместите свою сеть в карантин. Важно удалить зараженные ПК или майнеры из сети или добавить их в «карантинную сеть». В противном случае вирус будет распространяться, заражая другие компьютеры в сети.

2. Восстановите заводские настройки. Используйте SD-карту, чтобы сбросить майнер к заводским настройкам и перепрошить майнер.

3. Смените пароль. После сброса майнера первое, что вам нужно сделать, это изменить пароль майнера на надежный и безопасный пароль.

Чтобы защитить свои устройства и данные, следует соблюдать несколько основных правил: использовать надежное программное обеспечение,  регулярно обновлять прошивку и приложения, использовать сложные пароли и не делиться ими с другими людьми. 

Также рекомендуется использовать многофакторную аутентификацию и проверять активность своих устройств на предмет несанкционированных действий.