Hackers scannen op grote schaal het internet op Ethereum-wallets en cryptomining-apparatuur. De massale operatie zou sinds 3 december gaande zijn, aldus Troy Mursch, oprichter van het cybersecuritybedrijf Bad Packets LLC.
Dat vertelde hij aan ZDNet. Volgens Bad Packets scannen hackers doelbewust online naar apparaten met poort 8545, de standaardpoort voor de JSON-RPC-interface van veel Ethereum-wallets en mining-apparatuur. Het betreft een programmatische API, waarmee lokaal geïnstalleerde apps en services kunnen zoeken naar mining- en geldgerelateerde informatie.
De scanactiviteit is volgens het onderzoeksbedrijf ten opzichte van vorige maand verdrievoudigd. Een snelle zoekopdracht via Shodan zou aantonen dat op dit moment bijna 4.700 apparaten, waarvan de meeste Geth-miningapparaten en Parity-wallets zijn, momenteel hun 8545-poort blootstellen.
Geen wachtwoord
De betreffende programmatische API zou in theorie alleen lokaal getoond mogen worden, wil het niet dat sommige wallet-apps en mining-apparatuur het beschikbaar stellen voor alle interfaces. Bovendien is een ingeschakelde JSON-RPC-interface in standaardconfiguraties niet voorzien van een wachtwoord. Eenmaal Ethereum-wallets of mining-apparatuur op het internet zijn blootgesteld, is het voor hackers vrij eenvoudig om via opdrachten fondsen van de Ethereum-adressen van slachtoffers te verwijderen.
Poort 8545 is overigens een bekend probleem. In augustus 2015 waarschuwde het Ethereum-team al over de gevaren van het gebruik van mining-apparatuur en Ethereum-software, die deze API-interface via het internet blootlegt. Gebruikers kregen destijds een beveiligingsadvies toegestuurd om onder meer een wachtwoord toe te voegen aan de interface of gebruik te maken van een firewall om binnenkomend verkeer voor poort 8545 te filteren. Ook al volgden velen het advies op, van een gecoördineerde inspanning was geen sprake, waardoor veel apparaten nog steeds online beschikbaar zijn.
Gratis geld
Met het toenemen van het succes van Ethereum en de daarbij behorende prijsstijgingen, stegen ook het aantal aanvallen tegen blootgestelde Ethereum-klanten. Met name in november 2017, januari 2018, mei 2018 en juni 2018 werd er massal gescand, aldus ZDNet, die constateert dat ook gedurende deze periodes het aandeel van de virtuele munt omhoogschoot.
In januari 2018 was de waarde van Ethereum zelfs 1.377 dollar. De aanvallen nu vinden plaats in een tijd dat de munt juist gedaald is naar een waarde van nog geen 90 dollar. Mursch: “Ondanks de nu dalende prijs van cryptocurrency is gratis geld nog steeds gratis, zelfs als het een cent per dag is.
Gerelateerd: ‘Cybercriminelen kiezen vaker cryptominers vanwege waardedaling data’