해커들이 ethOS 대규모 스캔, 기본 SSH 비밀번호를 사용하는 이더리움 채굴서버 해킹 시도

해커들이 최근 ethOS를 사용하는 이더리움 채굴 서버를 스캔하여, 디폴트 ssh 비밀번호를 사용하는 호스트 해킹하여 채굴기의 권한을 획득, 이더리움 지갑의 주소를 해커 자신의 주소로 바꾸는 등의 수단을 이용하여 불법적인 이득을 취하고 있습니다. 

이번 공격은 비트디펜더가 설치해 놓은 허니팟에 공격징후가 포착되면서 발견되었습니다. 

허니팟 로그를 통해, 공격자는 각각 ethos:live와 root:live 두개의 기본 ssh 사용자비밀번호로 로그인을 시도하는 것을 확인하였습니다.

이 두개의 비밀번호 조합을 조사해본 결과, 이는 64bit의 Linux 배포버전인  ethOS는 에서 사용되는 조합으로, 이 OS는 주로 전문적으로 GPU 자원을 이용하여 가상화폐를 캐는데 사용됩니다.

비록 3800대의 디바이스에서 ethOS가 동작하고 있지만, 모든 시스템이 취약한 것은 아니였습니다. 만약 사용자가 기본 비밀번호를 바꾸고 방화벽을 설치했다면, 해당 공격에서 안전할 수 있습니다. 

보안연구원은 해킹된 ethOS에 등록되어 있는 이더리움 지갑 주소를 추적해 본 결과, 해커는 이런 해킹을 통하여 10 이더리움 이득밖에 갖기 못한 것으로 확인되었습니다. 

하지만 이런 사건은 끊임없이 발생하고 있습니다. 

올해 9월, 또 다른 보안연구원들 역시 가상화폐 채굴 서버를 노리는 공격을 발견하였는데, 이 공격은 취약점 패치가 되지 않은 IIS 6.0 서버를 타겟으로 진행되었습니다. 해커들은 이러한 서버를 해킹하여 가상화폐 모네로를 채굴하는 악성코드를 설치하였으며, 이러한 방법으로 63000달러의 부당이익을 챙겼습니다. 

또 다른 해커들은 CryptoShuffler 악성코드를 이용하여 150000달러의 가상화폐 수익을 얻었습니다. 

사용자를 CryptoShiffler 악성코드에 감염시킨 후 클립보드를 확인합니다. 만약 클립보드에 비트코인지갑 주소와 비슷한 문자열이 있다면 바로 해커 자신의 주소로 바꿔치기 합니다. 일반적으로 사용자들은 거래를 할 때 클립보드에 있는 지갑의 주소를 복붙하기 때문에, 사용자가 주의하지 않으면 해커의 지갑으로 가상화폐를 보내게 되는 것입니다. 

이 악성코드의 매커니즘은 매우 간단하지만 효과적입니다. 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Banker.CryptoShuffler.gen로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/hackers-using-default-ssh-creds-to-take-over-ethereum-mining-equipment/