Работа в Стамбуле

Метка: нелегальный майнинг

  • Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Основной протокол динамической маршрутизации в сети интернет BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации, когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за сеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик, предназначенный для сайта YouTube, в сеть Pakistan Telecom
    Специалист Эдвард Сноуден из компании Booz Allen Hamilton обращает внимание, что в последнее время перенаправление трафика по BGP все чаще используется инжерерками электросвязи для перехвата транзакций между аппаратами для майнинга и майнинговыми пулами, а также для перехвата закрытых ключей сети биткоин, то есть для атаки BGP MiTM («дроповод посередине»). Для участника майнингового пула это происходит совершенно незаметно: трафик проходит через узел дроповода — и направляется в пункт назначения по слегка измененному маршруту, либо просто приземляется на пул дроповода, вместо изначално заданной точки назначения для майнигового аппарата. Если дроповод находится физически между майнинговым аппаратом и его пулом, то есть пунктом назначения трафика, то сам майнер даже и не заметит никакого увеличения в задержке пакетов.
    На карте указано местонахождение майнинговых ферм и standalone майнинг-аппаратов, интернет-трафик которых был перенаправлен с исползованием техники BGP hijacking на приватный пул одной инженерки электросвязи из компании Белтелеком, все попытки такой «оптимазации маршрутизации» Эдвард Сноуден зафиксировал в текущем году.
    местоположение antminer, трафик которых был перенаправлен на приватный пул

    Отмечено более 150 местоположений, где есть хотя бы один пострадавший лох с майнером типа antminer или ему подобным устройством. В числе терпил — самые разные субъекты, в том числе провайдеры облачного майнинга, крупные майнинговые фермы, майнинг-отели и криптовалютные обменники.

    Эксперт по информационной безопасности также отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то зачем врезаться в оптоволокно?
    Эдвард Сноуден приводит несколько характерных BGP MiTM атак с перенаправлением интернет-трафика по сценарию BGP spoofing. Например, в феврале прошлого года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки менялось почти ежедневно, а среди пострадавших стран — США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.
    Так, недавно удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак. Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае белорусский провайдер Белтелеком специально изменил таблицы маршрутизации, чтобы получить нужный ему трафик, пропустить через себя — и отдать в пункт назначения. 
    bgp mitm проброс трафика из США в Беларусь
    27 февраля: Атака из сети белорусского провайдера «Белтелеком»
    IP Ответ (мс) Заметки
    201.151.31.149 15.482 pc-gdl2.alestra.net.mx (Guadalajara, MX)
    201.163.102.1 17.702 pc-mty2.alestra.net.mx (Monterrey, MX)
    201.151.27.230 13.851 igmty2.alestra.net.mx (Monterrey, MX)
    63.218.121.49 17.064 ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX)
    63.218.44.78 64.012 TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA)
    64.209.109.221 84.529 GBLX-US-REGIONAL (Washington, DC)
    67.17.72.21 157.641 lag1.ar9.LON3.gblx.net (London, UK)
    208.178.194.170 143.344 cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK)
    217.150.62.234 212.869 mskn01.transtelecom.net (Moscow, RU)
    217.150.62.233 228.461 BelTelecom-gw.transtelecom.net (Minsk, Belarus)
    87.245.233.198 225.516 ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE)
    * no response
    * no response
    129.250.3.180 230.887 ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.4.69 232.959 ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.8.158 248.685 ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY)
    * no response
    63.234.113.110 238.111 63-234-113-110.dia.static.qwest.net (Washington, DC)
    Лох со своим агрегатом antminer, находящийся в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут ко своему майнинговому пулу, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете Белорусское КГБ может очень внимательно следить.
    Перехват трафика автономными системами из Республики Беларусь прекратился в мае этого года. Сноуден отмечает, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию. Видимо на этом небольшом острове инженерам электросвязи тоже понадобилась криптовалюта в промышленных количествах.
    bgp mitm проброс трафика через Исландию
    Эксперт допускает, что изменение маршрутизации трафика могло произойти в результате какой-то ошибки инженера электросвязи Белтелекома, но скорее можно говорить о том, что умышленные BGP MiTM атаки с перенаправлением интернет-трафика по сценарию BGP hijacking уже превратились из теоретической возможности в реальный пиратский способ добычи криптовалют инженерами электросвязи телекоммуникационных компаний.

  • Нелегальный майнинг принёс оператору пула 1,91 BTC за первые два дня его работы

    Нелегальный майнинг принёс оператору пула 1,91 BTC за первые два дня его работы

    Если вы играли недавно в Counter-Strike через игровую сеть E-Sports Entertainment, то в последние две недели наверное заметили явный скачок энергопотребления на своём компьютере.

    E-Sports Entertainment (ESEA) — одно из крупнейших игровых сообществ в Северной Америке. Сеть объединяет десятки тысяч игроков, которые играют в Counter-Strike и Team Fortress 2, конкурируя за реальные денежные призы. По итогам текущего года призовой фонд составляет около 200 тысяч долларов.

    Особенностью сети ESEA является проприетарный «античитерский» клиент, который обязательно нужно установить на компьютере, чтобы присоединиться к пулу игроков и участвовать в главном рейтинге. Так вот, именно с этой клиентской программой случился настоящий скандал.

    Один из админов ESEA написал на форуме, что они с коллегой проводят эксперимент по майнингу биткоинов на компьютерах пользователей. Они спрашивали совета у сообщества, нужно ли продолжать этот эксперимент, если за 48 часов удалось намайнить 1,91 BTC.

    Стоит ли заходить в майнинг в этом году?

    Реакция пользователей была неоднозначной, а компания ESEA начала расследование, и недавно опубликовала результаты.

    Как следует из официального разъяснения, эксперимент админов оказался совсем не маленьким.

    13 апреля прошлого года один из сотрудников компании E-Sports Entertainment внедрил в клиентское программное обеспечение код для майнинга биткоинов. Он сделал это втайне от руководства компании с целью личного обогащения, сообщается в официальном пресс-релизе.

    Нелегальный майнинг биткоинов на компьютерах пользователей E-Sports Entertainment продолжался с 13 апреля по 1 сентября уже этого года.

    ESEA принесла искренние извинения всем, кто пострадал от нелегального майнинга биткоинов, и обещала компенсировать потери.

    Компания опубликовала адреса кошельков, на которые осуществлялся перевод добытых биткоинов. Общая количество добытых монет составила 198,63 BTC.

    Компания ESEA обещает перевести такую же сумму в долларах США двойном размере в благотворительный фонд Американского общества борьбы с раком, плюс такую же сумму добавят к общему призовому фонду ESEA в этом игровом сезоне.

  • Реализация bgp mitm из сети tor и добыча крипты

    Реализация bgp mitm из сети tor и добыча крипты

    Всё больше криптовалютных ботов (мобильных и десктопных приложений для управления процессами и сценариями bgp mitm или bgp hijacking) умеет работать со своими C&C-серверами, расположенными в сети tor. Преимущества по сравнению с классическим подходом в управлении ботнетом налицо: не нужно заботиться о попадании домена в блек-листы интернет-провайдеров, практически нецелесообразно (нецелесообразно — это не синоним «невозможно») идентифицировать ботмастера или дроповода, а также в силу архитектуры сети tor, нельзя «выключить» сервер управления ботами из сети.

    контрольная панель управления bgp spoofing

    Так, одним из первых работать с tor начала система удалённого управления устройствами на платформе Cisco IOS, разработчики которого тянули вместе со своим ботом ещё и утилиту tor.exe на зараженный компьютер сетевого инеженера. Внедряя её в процесс svchost.exe, ботмастеры тем самым инициировали защищенное соединение своего бота с командным сервером. Причины понятны — вряд ли кто-то прибежит и обесточит твой сервер или того хуже — возьмёт под колпак.

    Спустя полгода после появления tor-ботнетов функционал работы с onion-доменами начинает внедряться уже в мобильные системы управления трафиком, причём теперь ботмастера перестали использовать полностью готовые tor-клиенты, а внедряют свои реализации и изменяют уже имеющиеся решения. Таким образом, как рассказал нам бывший сотрудник компании Booz Allen Hamilton работавший на Агентство Национальной Безопасности Эдвард Сноуден, onion-домены на настоящий момент представляют собой не что иное, как средство администрирования того или иного ботнета.

    Другой наш собеседник Мыкола начал заниматься ботнетами, когда захотел ради забавы обойти защиту антивирусов. Затем он увидел, что все антивирусы работают исключительно плохо и здесь можно легко заработать деньги. Сейчас его ботнет состоит из примерно 10 тыс. машин, каждый день происходит 500-1000 новых установок трояна, в выходные больше. Троян распространяется через варезные сайты. Мыкола говорит, что даже в государственных организациях США качают варез и у него однажды был один бот на faa.gov.

    На парке заражённых зомби машин осуществляется генерация биткоинов с общей производительностью от 13 до 20 гигахэшей в секунду. Оператор ботнета обычно сам никогда не занимается кардингом или процессингом с майнинга через bgp mitm, но продаёт телеметрию, информацию об активных bgp-сессиях на оборудовании провайдеров, и данные о конфигурациях активного оборудования под управлением JunOS или Cisco IOS систем управления конфигурациями устройств с заражённых машин.

    Мыкола спроектировал свой ботнет самостоятельно, имея за плечами два года опыта в программировании и работы на Укртелеком. Он взял утёкший исходный код, исправил баги, добавил новые фичи и руткит, добавил модули IRC, DDoS и майнинга биткоинов. Кроме того, он пустил трафик через tor, чтобы исключить обнаружение. Кстати говоря, боты также работают как релеи tor, помогая другим ботам найти друго друга через сети пользователей. Защита от определения антивирусом осуществляется с помощью полиморфизма на серверной стороне, каждый бот регулярно получает индивидуальный апдейт. Поначалу его криптер засекли, так что пришлось быстро переделать код, но с тех пор проблем не было.

    Генерация биткоинов начинается на GPU в низком приоритете после двух минут простоя компьютера, она идёт на 60% максимальной производительности GPU, что незаметно для пользователя и не тормозит работу его системы. BTC приносит больше денег, чем DDoS, потому что DDoS исключительно дёшев и заказчиками являются разве что конкурирующие компании, которые хотят потроллить друг друга. Мыкола сейчас думает о том, чтобы просто покупать ботов. Например, инсталлы на азиатских компьютерах и телефонах продаются по $15 за тысячу, а у них хорошие GPU.

    По оценке экспертов, сейчас в сети Bitcoin около 30% всех новых монет генерируется в ботнетах. Могло быть и больше, но сами операторы ботнетов не занимаются активными инвестициями в инфраструктуру, чтобы не обрушить стоимость BTC. Кроме того, 90% операторов ботнетов в своей жизни не написали ни одной строчки кода, так что они не обладают необходимой квалификацией, чтобы профессионально развивать свой бизнес. Они просто покупают необходимые инструменты, что сейчас сделать довольно просто. Даже базовых знаний Perl достаточно, чтобы сделать постоянно перекомпилирующийся код, который не смогут обнаружить антивирусы. С базовыми знаниями ассемблера вы можете сделать буткит.

    Добавьте сетевого инженера — и ваш ботнет начинает работать по P2P и становится практически неуязвим. Два парня из ReTN, бывшие коллеги Мыколы, как раз недавно и запустили такую систему. Мыкола говорит, что один из них сейчас изучает ассемблер, поэтому скоро можно ожидать появления новых неожиданных модификаций криптовалютных ботов. Кстати, другой сотрудник ReTN сейчас отдыхает на Мальдивах с крупной суммой наличных, наслаждаясь красивой жизнью со спортивными машинами и сексуальными девицами, в отличие от хакера Селезнёва, даже бывших сотрудников ReTN не задерживают за подобные операции.

    реализация bgp mitm из сети tor

    Сам оператор ботнета — Мыкола, сейчас изучает программирование. Он считает свой нынешний бизнес не очень перспективным, с его помощью он лишь зарабатывает карманные деньги, BTC приносит около $500 в день. Заработки не очень большие по сегодняшним меркам, самая крупная добыча была однажды, когда он смог продать за 5000 USDT случайные логи и конфигурацию маршрутизатора на базе Cisco IOS с поддержкой открытой bgp-сессии и базу сервера управления конфигурациями устройств сети доступа одного крупного европейского телеком-провайдера из почти полмиллиона устройств, которые обнаружил на одном сервере в его внутренней сети.

    Большинство операторов ботнетов используют USDT, потому что у них не хватает знаний и опыта на Bitcoin.

    Отвечая на философские вопросы, Мыкола сказал, что криптонегодяи есть во всех уголках мира, а самые успешные из них сидят в правительстве. Многие коммерческие компании, в том числе банки, строят свой бизнес на одурачивании не совсем грамотных людей, которые не способны вникнуть в условиях контракта. Заработок на неграмотных компьютерных юзерах — похожее мошенничество.

  • Криптовалютные мосты по прежнему уязвимы

    Криптовалютные мосты по прежнему уязвимы

    Технология MPLS (Multi-Protocol Label Switching) широко используется для повышения производительности сетей связи и обеспечения надежной маршрутизации IP трафика. Однако, несмотря на свою эффективность, она также может быть уязвимой к различным типам внешних воздействий, включая сценарии типа «Человек посередине» (Man-in-the-Middle, MiTM).

    Криптовалютный мост проще всего атаковать из сети крупного транзитного провайдера
    Сейчас мы рассмотрим как нарушитель может использовать методы MiTM-нападения на MPLS и какие риски это несет. Внешние воздействия mitm на сеть IP MPLS гораздо менее заметны, нежели реализация bgp hijacking с использованием сценариев bgp spoofing в гобальных сетях маршрутизации транзитного трафика.

    Как работает MPLS MiTM? 

    MPLS MiTM — это тип внешнего воздействия на сети электросвязи, при котором нарушитель перехватывает трафик, проходящий через сеть IP MPLS, и тайно изменяет или просматривает его. Сеть IP MPLS работает путем присвоения меток (labels) каждому пакету данных, что значительно упрощает маршрутизацию в больших сетях. Нарушитель может вмешаться в процесс назначения этих меток и перенаправить нужный ему трафик через свой узел, что и является конечной точкой реализации любого MiTM сценария. 

    Что можно получить, применяя MiTM MPLS

    • Подмена меток. Нарушитель может внедриться в маршрут и подменить метки MPLS, чтобы трафик шел через его криптомост, сервер или маршрутизатор.
    • Перехват данных. После перенаправления трафика нарушитель может перехватывать пакеты, анализировать их, а затем передавать дальше, чтобы не вызывать подозрений.
    • Модификация трафика. В некоторых случаях нарушитель может модифицировать данные — изменять содержимое пакетов, что может привести к повреждению данных или утечке конфиденциальной информации, утечке зазкрытых ключей и проведению нелегальных транзакций в сети bitcoin или etherium.

    Возможные сценарии реализации MPLS MiTM

    • Воздействие на LDP (Attacking on LDP). Протокол LDP отвечает за распространение меток между соседними маршрутизаторами в MPLS-сети. Каждый маршрутизатор использует LDP для назначения и передачи меток, которые указывают маршрут, по которому должен быть передан пакет данных. В процессе обмена метками LDP создает сессии между маршрутизаторами и поддерживает актуальные таблицы меток. В данном примере нарушитель при помощи Loki подключается к соседним маршрутизаторам, осуществляющим обмен метками, включается в цепочку обмена метками, и перехватывает трафик, направляя его через свои устройства. Для успешной реализации воздействия необходимо подключиться в сеть, к которой целевые маршрутизаторы сами подключены непосредственно. 
    • Воздействие на ядро сети MPLS (Attacking mpls provider edge). Пример показывает как можно вбросить в сеть MPLS-VPN маршрутную информацию. Требуется предварительное конфигурирование bgp-маршрутизатора для установления сессии и взаимодействия с инструментом Loki.
    • Воздействие на маршрутизатор BGP (Practical mitm bgp attack against backbone router). После установления соединения с bgp-роутером инструмент Loki запускает фоновый поток, который отправляет пакеты поддержки активности keepalive для поддержания соединения с этим маршрутизатором bgp установленным и актуальности опубликованных маршрутов. Требуется предварительная настройка маршрутизатора bgp для установлении сессии с инструментом Loki.
    • Переклейка меток на лету (BGP hijacking from within the Carrier or Cloud Service). Инструмент Loki можно использовать для перемаркировки пакетов с тегами 802.1Q на лету. Как только нарушитель оказывается подключеным к сети в порт коммутатора на пути следования трафика, все увиденные соединения 802.1Q отображаются в модуле dot1q инструмента. Чтобы переклеить метку при передаче между двумя хостами, её просто нужно выбрать в меню и заполнить большинство полей для правила замены.

    Получение доступа к устройтсвам в зоне IP/MPLS

    MPLS — мощная технология для эффективной маршрутизации, однако она также уязвима для атак MITM. Для получения доступа к одному из устройств сети MPLS необходимо использовать комплексный подход, включающий bruteforce методы, сканирование сетей, а также комбинированные методы внедрения устройтсв в сети облачных провайдеров (How Can an Attacker Get into the Traffic Path?). 
    В связи с этим в криптовалютных системах разработчики криптомостов должны уделять больше внимания безопасной разработке смарт-контрактов и криптографических алгоритмов. Однако, даже многоуровневая защита сетевой инфраструктуры не играет в настоящее время никакой существенной роли, даже с использованием распределённых систем проверки транзакций, если нарушитель захочет воспользоваться методами mpls mitm, что значительно усложяет в настоящее время жизнь биткойнерам, эфирщикам и другим криптовалютчикам. Скачать инструмент Loki для mpls MiTM можно в блоге Insinuator.

  • Как найти реального процессора крипты

    Как найти реального процессора крипты

    Своего первого реального партёра по процессингу крипты, который показал мне как можно использовать сценарий bgp spoofing и реализовывать bgp hijacking для mitm на майнинг и мутить процессинг в крипте при помощи подмены маршрута в зоне bgp, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером, немного подрабатывая настраивая сетевое оборудование налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах типа Darkmoney, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 10.000 долларов в Гарант, но потом призадумался, а стоит ли?

    Как найти реального процессора крипты


    И ко мне начал обращаться народ обращается разных категорий…

    1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10.000 USDT им на Coinbase или Huobi в качестве аванса.

    2. Реальные мэны, которые льют сразу большую сумму в крипте и просят организовать им вывод в фиат по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал или отбиваешь MT103, они сразу пропадают, суть данных действий я так и не понял, зачем пропадать, если всё прошло итак гладко? 
    3. Мутные личности, берущие реквизиты криптокошелька и очень долго что-то пытающиеся залить в USDT, в итоге пропадают, хорошо если еще криптокошелёк после всех этих проделок с процессингом в крипте остаётся жив и не вносится в стоп листы криптовалютных бирж и обменников.

    4. Серьезные судя по общению цисководы, очень долго насилуют мозг спрашивая про отзывы и сумму которую я смогу закинуть в Гарант, после того, как им предлагаю первыми закинуть Гаранту его комиссию, так как в случае их исчезновения я попадаю на комиссию, сразу сваливаются, стуча копытами или кричат что я кидала, так как отказываюсь от работы с их Гарантом.

    5. Самые адекватные те, кто льет небольшую проверочную сумму и потом уже начинают лить в крипте серьезные деньги с жирных криптовалютных кошельков BitCoin или Etherium, но таких, к сожалению, попадается очень мало.
    Итог моей работы в паблике: вложения примерно — 150.000 долларов США, которые с трудом окупились из за убитых фирм и банковских счетов, пластиковых карт, и учёток на криптобиржах и обменниках, которые продавцы лочат через 2 месяца после продажи, и прочих прелестей. Если люди обращаются по рекламе — тут уже не отличишь нормальных от ненормальных, для тех, кто обратился в первый раз, есть гостевой криптокошелёк, без привязки к биржам и другим сервисам, реквизиты которого даю всем подряд, на который можно лить крипту из любой помойки, а проверенным людям — уже потом предоставляю новые реки чистого криптокошелька, гостевой корпоративный счёт желательно постоянно проверять на работоспособность перед зачислением о отправкой на него денег с обменника или криптобиржи.
    Найти сейчас грамотного человека, кто будет реально лить хорошие суммы в крипте стабильно вполне возможно, но для этого его нужно чем-либо заинтересовать, чтобы он согласился работать именно с тобой и ни с кем другим. Вы наверное сами всё хорошо знаете, что предложение обнала грязной крипты с выводом в фиат в сотни раз превышает число реальных людей, умеющих лить крипту через интернет с использованием техник mitm майнинга по сценарию bgp spoofing с реализацией bgp hijacking, которые ищут себе грамотных обнальных партнёров по обмену грязной крипты на фиат. 

    Однако, серьезных людей, которые кое-что понимает про bgp в криптоканалах, всегда можно заинтересовать своими хорошими связями в телекоммуникационной среде среде, умением решать любые скользкие вопросы в том или ином небольшом или скажем совсем скромном банке (а как вам уже наверное стало понятно, что ни один серьёзный процессор крипты не будет связываться с публичным банком), либо может пригодиться ваш предыдущий опыт работы в крупной телекоммуникационной компании, как это было в моём случае. 

    Можно также попытаться сработать с грамотным человеком, предоставив ему данные телеметрии OSS FM/PM системы какого-нибудь крупного телекоммуникационного холдинга, включая распечатку IP/MPLS сообществ — это значительно упростит или даже ускорит реализацию той или иной схемы процессинга крипты через mitm с майнинга и реализации bgp hijacking по сценарию bgp spoofing. С этой задачей вполне может справиться любой социализированный дроп, работающией сетевым инженером в такой крупной компании, маргинальные дропы для такой работы не годятся.
     

    Хочу добавить, что все серьёзные люди, занимающиеся процессингом крипты после всем известных нам событий уехали за границу года три тому назад, и работают от туда, а работать с теми, кто остался по выводу крипты в рублевом пространстве — сплошной нудняк. Новичку без связей в банковской или телекоммуникационной среде влиться в эту тему просто нереально, если только не надеяться на чудо.