Antbleed es un backdoor que afecta a equipos de minería Bitcoin vendido por Bitmain el mayor proveedor de cripto-moneda de hardware en el mercado
El llamado código de "puerta trasera" fue introducido en el firmware de los productos Bitmain el 11 de julio de 2016. Un investigador de seguridad reportó el problema a Bitmain el 19 de septiembre de 2016, a través del repositorio GitHub de la empresa, donde la compañía aloja el código fuente de su firmware.El informe de error original fue ignorada hasta el 26 de abril, cuando un sitio web recientemente lanzado llamada Antbleed detalla las características de la puerta trasera.
Antbleed permite el apagado remoto de los mineros Bitcoin
Según un análisis del código fuente de Backdoor, el equipo Bitmain comprobará cada 1 a 11 minutos con un servicio central alojado enauth.minerlink.com, un dominio registrado por Bitmain.
Durante esta operación el registro de entrada, el equipo del propietario será enviar a través de su número de serie, la dirección MAC y la dirección IP. De acuerdo con estas líneas de código, si el servicio Bitmain devuelve una respuesta de "falso" el equipo del usuario se detendrá todas las operaciones mineras.
"En el peor, esta puerta trasera del firmware permite Bitmain apagar un gran sector de la hashrate mundial (se estima que hasta un 70% de todos los equipos de minería)", segun el investigador anónimo que descubrió esta falla.
"También se puede utilizar para dirigirse directamente a las máquinas o clientes específicos. Reglas de firewall de entrada estándar no protegerán contra esto porque el Antminer hace que las conexiones de salida", también añadió.
La vulnerabilidad Antbleed fue descubierto en el firmware de los equipos Bitmain como Antminer S9, el último producto de la compañía.
Antminer es actualmente uno de los más populares equipos de minería Bitcoin en el mercado. Los investigadores creen Antbleed también afecta a la Antminer L3, T9 y la serie R4, aunque no han probado los productos para confirmar oficialmente.
La página de inicio Antbleed enumera un método para detectar si el equipo está ejecutando una Antminer Antbleed afectada versión del firmware, utilizando el archivo hosts para redirigir las consultas de auth.minerlink.com a un servidor de prueba.
Por otra parte, debido a que el dominio auth.minerlink.com está codificado en el código fuente del firmware, los propietarios de equipo de minería Bitcoin afectados pueden proteger de forma permanente contra la remota apagado remoto de su equipo de minería modificando su archivo de hosts y señalando la auth.minerlink.com dominio hacia localhost.
El desarrollador de Bitcoin Core Peter Todd dice "cualquier MITM atacante o DNS atacante puede activarlo [Antbleed puerta trasera]" ya que no hay mecanismo de autenticación incluido en el firmware.
El cierre de la minería Bitcoin significa el cierre de la verificación de las transacciones Bitcoin, afectando el ecosistema en sí Bitcoin.
Los expertos creen que el código Antbleed "puerta trasera" se añadió como un sistema DRM bruto así Bitmain podría cerrar el equipo de los clientes deshonestos. Otras teorías paranoides y un montón de malas palabras están disponibles en Reddit y HackerNews .
Fecha actualización el 2017-6-18. Fecha publicación el 2017-4-27. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer