Satori, le virus qui s’attaque aux RIG de minage

Le puissant botnet Satori a refait surface avec une nouvelle cible. Selon plusieurs chercheurs dans le domaine de la sécurité informatique, une flopée d’appareils zombies a été dirigée contre des RIG (appareils de minage) qui exploitent la blockchain Ethereum.

Selon Qihoo 360 Netlab, une variante du botnet Satori surnommée Satori.Coin.Robber a été repéré en train de scanner des machines minant de l’ether dans la volonté de dérober des cryptomonnaies.

Les chercheurs n’ont pas apporté beaucoup de détails sur le fonctionnement de ce virus – une précaution prise pour éviter que des modèles similaires se mettent en place – mais ils ont néanmoins fourni suffisamment d’informations pour montrer que ce dernier est actif et qu’il a touché avec succès un bon nombre de machines.

La variante spécialisée du botnet-qui à l’époque, avait infecté des centaines de milliers de périphériques connectés à Internet en utilisant des informations d’identification par défaut des fabricants qui n’ont jamais été modifiées-, comporte des fonctions similaires à celles de la version originale, mais recherche spécifiquement des machines de minage.

Ces machines peuvent être identifiées relativement facilement par le robot. Il recherche des appareils exécutant Windows et qui ont ouvert le port de gestion 3333, un port TCP (Transmission Control Protocol) qui permet à la machine d’établir une connexion avec un autre hôte et d’échanger des flux de données – Il est ici utilisé dans la communication du réseau Ethereum.

Le botnet recherche des équipements qui utilisent le logiciel Claymore Miner, un outil populaire utilisé pour le minage d’Ethereum, un procédé qui consiste à exploiter la puissance de calcul de l’équipement pour résoudre des équations mathématiques complexes nécessaires pour confirmer la validité des transactions.

Une fois que le botnet détecte un système qui exécute Claymore Miner avec le port 3333 ouvert et sans activation d’authentification par mot de passe, ce qui est la configuration par défaut, il lance son attaque pour détourner les ressources.

Dans un premier, Satori recueille des informations sur l’état du RIG. Ensuite, il se charge de remplacer l’adresse du portefeuille sur la machine hôte avec celle du pirate. Il redémarre alors le système avec la nouvelle adresse, ce qui a pour conséquence que l’ether extrait par la machine est livré a l’attaquant, laissant donc la victime utiliser ses ressources…pour quelqu’un d’autre.

Si vous possédez une machine de minage utilisant Claymore Miner, il est vivement conseillé de mettre à jour le logiciel et de paramétrer votre configuration pour demander un mot de passe.

D’après ibtimes.com