Como proprietários desavisados ajudaram hackers a minerar 500 milhões de Dogecoins

Novos detalhes surgiram sobre a mineração ilícita de aproximadamente meio bilhão de dogecoins no inverno e no início da primavera de 2014, que teve como alvo principalmente proprietários desavisados e pode ter afetado milhares de clientes da fabricante taiwanesa Synology.

No início desta semana, veio à tona que um hacker ou hackers ainda não identificados obtiveram acesso de administrador a servidores de armazenamento conectado à rede (NAS) vendidos pela Synology. Isso resultou ema criação de aproximadamente 500 milhões de dogecoinsao longo de um período de vários meses, com pico de atividade em fevereiro.

A tentativa de malware chamou a atenção da empresa pela primeira vez em setembro, solicitando uma resposta QUICK e o desenvolvimento de uma correção de software dentro de quatro dias da Confira inicial. Uma correção de acompanhamento foi anunciada em fevereiro. No entanto, alguns clientes não conseguiram atualizar seus servidores NAS. Como resultado, os envolvidos no hack foram capazes de explorar vulnerabilidades de segurança e criar uma botnet que minerou Bitcoin e Dogecoin.

Muitos dos clientes envolvidos eram proprietários de imóveis que em grande parte permaneceram alheios ao problema até que ele já tivesse sido resolvido pela Synology. Thadd Weil, especialista em relações públicas daSynology América Corp., disse ao CoinDesk que o evento foi a primeira vez que um ataque cibernético focado em moeda digital impactou com sucesso seus clientes.

No entanto, ele disse que tentativas de fazer isso já aconteceram antes e provavelmente ocorrerão novamente, afirmando:

“Nós nos tornamos um alvo, porque somos um dos nomes em armazenamento conectado à rede. Como tal, pessoas nefastas têm apontado suas armas para nós desde o final do ano passado, mais particularmente. Temos lançado atualizações do sistema operacional frequentemente [como resultado].”

A resposta inicial levou a uma QUICK correção de bug

Weil explicou que, em meados de setembro, as equipes de resposta de segurança da empresa foram alertadas sobre atividades fraudulentas ocorrendo. Ele acrescentou que a Confira era parte das atividades de varredura de rotina da Synology. Quatro dias após a descoberta dos arquivos maliciosos incorporados nos servidores NAS – contidos em pastas intituladas “PWNED” – a Synology conseguiu gerar um patch que anulou os efeitos do software.

Mais tarde, a empresa lançou outra atualização,anunciadoem uma declaração de imprensa de fevereiro, que descreveu os problemas e identificou os dados maliciosos envolvidos. Esta resposta foi publicada depois que alguns usuários foram às plataformas de mídia social para alertar a Synology sobre o desempenho lento de suas caixas NAS e uso de CPU anormalmente alto.

Falhas no protocolo de atualização

No entanto, a vulnerabilidade permaneceu sem solução para a maioria dos usuários porque a correção não foi anunciada em uma escala ampla o suficiente. Weil reconheceu que a empresa poderia ter feito um trabalho melhor se comunicando com os clientes que podem ter estado em risco, explicando:

“T fizemos um trabalho bom o suficiente para informar [aos nossos clientes] por que eles precisavam atualizar seus sistemas operacionais.”

Weil continuou dizendo que, antes do incidente, a Synology não atualizou diretamente o software do servidor NAS. Como resultado, alguns clientes nunca abordaram a falha de segurança, o que permitiu que aqueles por trás do hack redirecionassem os servidores NAS para mineração de Bitcoin e Dogecoin .

A Synology agora emite atualizações automáticas para seus clientes como resultado da falha do protocolo de patch.

Weil acrescentou que a Synology vem monitorando o problema desde que a atividade de mineração em seu hardware aumentou, com a atualização mais recente saindo esta semana.

Alvos desavisados

Outra parte do problema era que os alvos mais comuns nesse caso eram proprietários de imóveis que T usavam nem de longe as capacidades de largura de banda de seus servidores NAS. Por causa disso, muitos clientes T sabiam do problema, a menos que estivessem usando poder de processamento significativo.

A escolha de atacar os produtos da Synology reflete ataques adispositivos móveis e com a intenção de criar uma botnet. Ao reunir os recursos de muitos dispositivos pequenos, um hacker ou hackers podem gerar poder de hash suficiente para minerar com sucesso moeda digital, seja Bitcoin ou Dogecoin.

Como nesses casos, os servidores NAS T geram muito poder de computação – “é como atribuir a uma Calculadora a tarefa de fazer renderização 3D”, como Weil explicou – mas, em larga escala, são capazes de um poder de hash significativo quando usados ​​para mineração.

Weil não conseguiu fornecer um número específico sobre a quantidade de clientes afetados, mas especulou que deve ter sido “na casa dos milhares”.