'Hacker gebruikte digitale videorecorder voor bitcoinmining'

Niet alleen computers, maar ook digitale videorecorders lopen het risico om door criminelen te worden gebruikt voor het minen van bitcoins. Dat ontdekte een onderzoeker van het SANS Institute, een Amerikaans securitybedrijf, na eigen onderzoek.

Onderzoeker Johannes Ullrich van het SANS Institute had een digitale videorecorder gekocht via eBay en die op internet aangesloten. Het ging om een Epcom Hikvision S04, die volgens Ullrich in nieuwstaat verkeerde en dus niet eerder was gebruikt.

Hij sloot de videorecorder met de standaardconfiguratie op het internet aan. Het apparaat beschikte standaard niet over een firewall en vroeg ook niet naar het aanpassen van het wachtwoord. Mede daardoor zag de onderzoeker dat, vlak nadat hij de Epcom aansloot, hackers de poorten van het apparaat aan het scannen waren. Er begonnen brute force-aanvallen plaats te vinden, waarbij de aanvallers poogden op het systeem in te breken. Uiteindelijk lukten het zes van de dertien hackers op de eerste dag in te breken met de reguliere gebruikersnaam en het normale wachtwoord, respectievelijk 'root' en '12345'.

Eén van de hackers ging een stap verder en begon met het 'uploaden' van het bitcoinscript, hoewel de videorecorder in eerste instantie helemaal geen ondersteuning biedt voor deze functionaliteit. "Er was geen wget en ook geen ftp- of telnetclient. In plaats daarvan werd de aanval uitgevoerd via de telnetconsole. Uiteindelijk bleek dat de aanvaller een wrapperscript gebruikte dat een serie van 'echo'-commando's gaf om het initiële binaire bestand te uploaden", schrijft Ullrich.

Een paar commando's later bleek het apparaat bitcoins te minen, maar de slagkracht van het apparaat was beperkt, vermoedelijk door de zwakke cpu van de videorecorder, zo stelt Ullrich. Wel werd de Epcom meerdere malen gekraakt en met miners besmet. Ook lieten de aanvallers volgens Ullrich de scripts van anderen staan. De onderzoeker heeft een PCAP-bestand online gezet waarmee de aanvallen op de videorecorder zijn te analyseren.

Reacties (81)

kodak

Beveiliging en antivirus

5 mei 2014 23:36

Ik lees werkelijk nergens in de blog post van SANS wat bewijs levert voor de openingszin van de schrijver van dit Tweakers bericht. Dat de onderzoekers ontdekte dat "Niet alleen computers, maar ook digitale videorecorders lopen het risico om door criminelen te worden gebruikt voor het minen van bitcoins. " Nog afgezien dat een digitale videorecorder net zo goed een computer is, is het, ook bij SANS, inmiddels al decenia lang bekend dat welke computer dan ook ingezet kan worden voor doelen waarvoor ze niet bedoeld zijn. Alles met een computer loopt dus in meer of mindere mate een risico. De verbazing staat niet in de blogpost, maar waarom neemt de schrijver dat dan wel aan?
Verder zijn de SANS blogposting niet bedoeld voor n00bs maar geven ze een kijkje in de wereld van onderzoek. Veel posts laten oa zien hoe specialisten onderzoek doen naar misbruik van systemen en wat je dan zoal tegen kan komen. Het zou wel prettig zijn als journalisten en andere schrijvende personen eens een wat meer open blik hebben op onderwerpen voor ze zaken er bij gaan verzinnen en er zogenaamd nieuws van maken. Helaas is het zo dat als je je ergens niet genoeg in verdiept je alles wel nieuws kan noemen.

mae-t.net @kodak • 6 mei 2014 00:42

In het spraakgebruik is een computer een PC. Een digitale videorecorder is een embedded system. Nou zijn het allebei computers en de grens vervaagt wel wat, maar er zit voldoende nieuwswaarde in de publicatie, lijkt mij.

Whatson 5 mei 2014 20:36

"Hij sloot de videorecorder met de standaardconfiguratie op het internet aan. Het apparaat beschikte standaard niet over een firewall en vroeg ook niet naar het aanpassen van het wachtwoord. Mede daardoor zag de onderzoeker dat, vlak nadat hij de Epcom aansloot, hackers de poorten van het apparaat aan het scannen waren. "

Klinkt niet erg plausibel. Hij had die hackers er van tevoren zeker op gewezen dat hij dat apparaat ging aansluiten/ze hadden al eerder een onbeveiligd apparaat op zijn ip-adres gevonden.

mvdejong @Whatson • 5 mei 2014 22:16

Nergens voor nodig. Het internet staat vol met robotjes die de hele dag niets anders doen dan scannen of er apparaten met bepaalde kwetsbaarheden te vinden zijn.

Pak voor de gein een systeempje, zet er Linux op, en hang die zonder een NAT aan het net. Binnen een kwartier heb je wel een robotje dat een paar dozijn standaard username/passwd-combo's van gebruikelijke databases en applicaties uitprobeert.

Een ander type robot scant naar "open relays", d.w.z. mailservers die mail doorsturen zonder controle op in- en /of uitgaande adressen, heel geliefd bij spammers. En natuurlijk zijn bejekende lekken in browsers en web-servers erg populair.

In de XP-tijd hebben ze een keer een onderzoekje gedaan waaruit bleek dat een PC met een verse, kale XP-installatie gemiddeld na 10 minuten gehackt was.

hardwareaddict @mvdejong • 6 mei 2014 11:36

Sterker nog, default linux installaties zijn ook heel snel gehacked

Al die distro's van tegenwoordig zitten boordevol met spyware. Ik werd weer zo ziek van OpenSUSE en zijn zelfhacking capabilities dat ik 'm er weer direct afknikkerde hier van de week.

Waar het toch om gaat is of er ergens iets te halen valt. Zodra je interessante producten ontwikkelt - dan krijg je ineens met militaire hackpogingen te maken en scripts van een nivootje die echt door elk apparaat van 50 euro heenrammen op een manier alsof security niet meer bestaat.

mae-t.net @Whatson • 5 mei 2014 20:42

Het klinkt mij inderdaad een beetje als een verhaal van voor de tijd dat internetmodems standaard met routingfunctionaliteit en NAT waren uitgerust. De tijd dat een ongepatchte Windows XP pre SP1 binnen 5 minuten geroot was als je hem aansloot.

Het zou natuurlijk kunnen dat hij het ding op iets als een campusnetwerk heeft aangesloten, of dus niet achter enige vorm van router op een ander ongespecificeerd groot netwerk.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 00:06]

Verwijderd @mae-t.net • 5 mei 2014 20:46

En toen was er IPv6

ApexAlpha @Verwijderd • 5 mei 2014 21:06

Kun je dat uitleggen?

edit: bedankt voor de antwoorden!

Als ik het goed begrijp gaat met IPv6 het alom bekende 192.xxx.xxx.1 van je eigen router verdwijnen? In plaats van één IP adres per aansluiting straks dus iedere pc/laptop/device een eigen IP?

Moet dan niet elk apparaat een eigen firewall hebben of zal de router die functie nog steeds kunnen vervullen?

[Reactie gewijzigd door ApexAlpha op 23 juli 2024 00:06]

SkiFan @ApexAlpha • 5 mei 2014 21:18

Met IPv6 heb je geen NAT meer nodig en is ieder IP Adres globally routed, dus in principe vanaf overal te bereiken. Er zijn wel prive-ranges, maar dat wil niet zeggen dat je die moet gebruiken.

mashell @ApexAlpha • 5 mei 2014 21:19

Met IPv6 is het de bedoeling dat alle apparatuur een echt direct toegankelijk IP adres krijgen, want er zijn er immers voldoende van beschikbaar. Dat maakt apparatuur bereikbaar van buiten. Met IPv4 en NAT technieken wordt er eigenlijk altijd lokaal een adres uit de 192.168 of 10. range gebruikt. Deze adressen kunnen niet op het echte internet, ze worden gewoon weggefilterd. Je router die de omzetting van het ene echte IP adres dat je van je provider krijgt naar die lokale adressen maakt zal veel van de aanvallen en poortscanners al wegfilteren waardoor je een relatieve veiligheid hebt lokaal.

C0rnelis @ApexAlpha • 5 mei 2014 21:21

Het idee is dat elk apparaat zijn eigen rechtstreekse connectie heeft op het internet want er geldt niet meer dat je NAT móet hebben om genoeg IP-adressen te kunnen uitdelen aan alle internetcapabele apparaten. Op die manier kan je inderdaad direct verbinding met een willekeurig apparaat.

Als ik het goed interpreteer (gelinkte artikel lezen), ging het echter om ip-adres "204.124.183.242", dus die vlieger gaat niet op.

Armin @ApexAlpha • 5 mei 2014 22:23

of zal de router die functie nog steeds kunnen vervullen?

Elke moderne 50 euro router heeft een IPv6 firewall die ook nog eens standaard aan staat ...

EDIT: ik had gewoon eerst even het artikel van de persoon zelf moeten lezen. Daarin staat te lezen dat hij het express niet achter een firewall had gezet. Juist om te kijken wat hackers zouden doen ...

[Reactie gewijzigd door Armin op 23 juli 2024 00:06]

Armin @Verwijderd • 5 mei 2014 22:22

En toen was er IPv6

Elke 50 euro router die IPv6 ondersteunt heeft standaard ook een IPv6 firewall ...

Misschien niet als je nog een 5+ jaar oude router gebruikt, maar ik vermoed dat men hier het apparaat aan een intern campus netwerk aansloot. Dan heb je én geen firewall én campus netwerken zijn natuurlijk uberhaupt een walhalla voor hackers en scripters.

hardwareaddict @Armin • 6 mei 2014 11:33

Een router waar je als hacker niet doorheen komt - dat is geen 50 dollar router meer maar zet er maar snel een 0 achter.

Armin @hardwareaddict • 6 mei 2014 17:44

Dicht zetten is vrij makkelijk. Dicht zetten, op een paar diensten na, is inderdaad lastig en vereist inderdaad eerder een 500 euro router dan een 50.

Ik opperde bij de laatste hack van routers zoals gerapporteerd op Tweakers ook dat mensen te hoge verwachtingen hebben. Mensen willen een 50 euro router, die tevens als NAS dienst doet, plus allerlei remote login functionaliteiten heeft. En dan uiteraard automatisch geupdate, plus dat men handmatig allerlei poorten gaat openzetten om apparatuur op het interne netwerk te kunnen bereiken. En dan inderdaad gaat het helemaal fout ...

Maar wie alles potdicht zet is doorgaans wel velig. 'Alles' tegenhouden is immers redelijk makkelijk.

i-chat @Verwijderd • 5 mei 2014 21:38

internet of things, is helemaal zo gek nog niet, en zoals het bekende tweaker-spreekwoord luidt: Network Address Translation is geen firewall.

verder denk ik dat er nog een heule hoop goedkope media-spelers zijn (laten we voor het gemak zeggen: uit china), die geen fatsoenlijke beveiligings opties hebben ingebouwd dus zo gek is het niet eens...

[Reactie gewijzigd door i-chat op 23 juli 2024 00:06]

-DarkShadow- @Whatson • 5 mei 2014 20:42

Sluit maar eens een PC aan met Win XP SP1 op een internetverbinding zonder router. Binnen 10 minuten heb je een aantal besmettingen te pakken.

ultimasnake 5 mei 2014 23:16

Het geen wat ik alleen niet snap is hoe zijn device via het internet zichtbaar was, dit zou je toch echt via NAT of DMZ moeten doen, en de vraag is dan dus hoe dat zou kunnen gebeuren bij standaard gebruik.... Al met al erg vindingrijk, niet alles draait om enorme rekenkracht maar soms de vele kleinen tezamen! De manier van uitrollen en aanvallen is ook bijzonder vindingrijk, ik vraag me af hoeveel zo een machine kan minen per dag en/of hoeveel je dan nodig hebt voor een rendabele kosten/baten (het kost immers tijd dus geld om het uit te rollen zou je zeggen)

Brahiewahiewa @ultimasnake • 6 mei 2014 01:05

Nou, in het artikel staat "standaard procedure" en ik vind dat een beetje ontwijkend taalgebruik.
Doet mij vermoeden dat het apparaat rechtstreeks op het kabel- of ADSL modem was geprikt, met dus een publiek IP-adres. En da's vragen om moeilijkheden, natuurlijk.

Disclaimer: Ik ben het helemaal eens met de stelling "NAT is geen firewall", maar ik realiseer me wel dat NAT een heleboel ellende tegenhoudt

ultimasnake @Brahiewahiewa • 6 mei 2014 09:09

Inderdaad en zelfs standaard in een modem prikken betekend niet dat je rechtstreeks bereikbaar bent, volgens mij is dat alleen het geval zoals 'vroegah' met USB-modems

Biersteker 5 mei 2014 20:36

Wow, Inventief, maar nutteloos. Zelfs met een leger van die dingen sla je nog geen deuk in een pakje boter.

noidea_2 @Biersteker • 5 mei 2014 20:42

Ik denk dat de boodschap niet zo zeer is "ga minen met je PVR", maar eerder "zorg dat je beveiliging adequaat is op al je connected devices". Het worden interresante tijden met het Internet Of Things

Ayporos @noidea_2 • 6 mei 2014 05:42

Ja precies dit. Kijk dat het kan a la, daar kijkt niemand hier van op... dat zijn apparaat echter VLAK na aansluiten al door MEERDERE hackers benaderd werd, dat is wel weer interessant want het toont maar aan dat je eigenlijk je beveiliging op orde moet hebben vóór je spullen aansluit want het kan binnen een paar minuten gebeurd zijn en dan is je device geïnfecteerd.

Verwijderd @Ayporos • 6 mei 2014 07:43

Dit is al jaren zo.

<mode opa=vertelt>Vroegah, vroegah, toen dat nog niet zo raar was sloot ik een keer een /16 netwerk op het internet aan en de 1e 3 dagen werd de firewall die ik er van te voren had klaargezet zo idioot veel gescand dat ik er geen normaal verkeer doorheen kon jassen.
En we hebben het hier over denk ik 1998 of 1999.. </mode>

Je hebt het gewoon heel vaak niet door als je er niet naar kijkt, maar je wordt de hele dag door gescanned. Ik heb al jaren geen honeypot meer omdat het gewoon niet leuk meer is.

Wie met z'n telefoon in een openbare ruimte wifi gebruikt moet zich ook niet teveel illusies maken. Je kunt wel een firewall installeren maar als een van je brakke apps contact zoekt met z'n homeserver en iemand gaat daar tussen zitten ben je ook het haasje.

Verwijderd @Verwijderd • 6 mei 2014 09:04

Jaren terug (2004?) had je ook Blaster en Sasser die windows XP machines infecteerde. Zodra een verse XP machine aan het internet werd gehangen was het binnen enkele minuten raak.

PuzzleSolver @Verwijderd • 6 mei 2014 09:41

Inderdaad, de beruchte RPC (Remote Procedure Call) bug in Windows XP. Was die poort bereikbaar dan kreeg je het virus. Erg irritant, een systeembeheerder had bij ons een laptop voor de configuratie direct aan het internet gehangen. Apparaat was binnen een paar minuten besmet, daarna kwam het apparaat in het LAN te hangen en begon daar weer machine's te besmetten (waaronder mijn laptop). Een andere systeembeheerder die het verkeer op het LAN aan het bekijken was kwam er gelukkig direct achter.

Tegenwoordig is het verkeer bekijken op het LAN ook al geen pretje meer, alle apparaaten lopen wel op één of andere manier te zoeken naar servers/clients. Als je IPTV over je LAN hebt zie je ook de TV streams op alle PC's binnen komen (Goedkope switches ondersteunen nl. geen multicast en doen dus gewoon broadcast). Hierdoor is het vrij moeilijk om zelf te beoordelen wat nu goed of fout verkeer is.

Internet of things en apparaten met meerdere connecties zoals telefoons maken het er ook niet beter op. Telefoons met wifi gaan meestal automatisch op zoek naar netwerken en melden zich daar aan. Als daar dus een makkelijk standaard Root account op staat dan kun je er dus ook vanguitgaan dat die ergens een keer gevonden wordt waardoor je besmet raakt en jouw telefoon vervolgens alle andere devices weer aan gaat vallen in de netwerken waar hij komt. Dit gebeurde een paar jaar terug nog met geroote iPhones.

GeoBeo @Biersteker • 5 mei 2014 20:44

Als het nutteloos was zouden ze het niet doen.

Had laatst uitgerekend dat je met 1 miljoen smartphones die staan te minen ongeveer 10k EUR per dag verdient. Zelfs 100.000 stuks zou best aardig zijn en dat is echt niet zo moeilijk te halen als al je scripts geautomatiseerd zijn en je in allerlei apparaten binnenkomt...

zie dit topic op Tweakers: nieuws: Apps uit Play Store minen litecoins en dogecoins tijdens opladen toestel

[Reactie gewijzigd door GeoBeo op 23 juli 2024 00:06]

Biersteker @GeoBeo • 5 mei 2014 21:05

Smartphones zijn stukken sneller dan een PVR, en 1 miljoen van die PVRs die exposed staan, dat is een absurd aantal en zal niet gehaald/gevonden worden. Als je hiermee meer dan 1 btc per maand maakt met 150k clients zal het veel zijn.

Do you want to do the math?

[Reactie gewijzigd door Biersteker op 23 juli 2024 00:06]

GeoBeo @Biersteker • 5 mei 2014 21:50

Ik heb de math al gedaan. hiermijn math.

Het is dus al gedaan, zie dit topic op Tweakers: nieuws: Apps uit Play Store minen litecoins en dogecoins tijdens opladen toestel

En die lui gingen niet eens verder dan smartphones met 1 of 2 specifieke apps en hebben dus bewezen dat het mogelijk is 5 miljoen miners te deployen (waarvan er vast wel tegen de 1 miljoen gemiddeld aan staan). Ze zijn vast niet de enigen die het doen en het gebeurt blijkbaar niet alleen op smartphones, maar ook op andere apparaten...

[Reactie gewijzigd door GeoBeo op 23 juli 2024 00:06]

Biersteker @GeoBeo • 5 mei 2014 22:16

In dit geval was het een ARM-bitcoinminer. /rand0-btcminer-arm. Geen scrypt. Dat maakt het toch een heel andere rekensom.

Bijv: een Cortex A8 doet 0.435 mh/s. Laat daar 1.000.000 van runnen. 435000.0 Mh/s (Volgens de calculator: per Maand 0.83121386 BTC $358.25)

[Reactie gewijzigd door Biersteker op 23 juli 2024 00:06]

GeoBeo @Biersteker • 5 mei 2014 23:04

Goed punt en erg vreemd dat die jongens het brein hebben om miners te runnen op alles dat maar internet heeft, maar niet slim genoeg om dan een rendabele coin te kiezen...

Tonko Boekhoud @GeoBeo • 5 mei 2014 23:15

Ja inderdaad, vraag me ook af waarom.
Misschien dan toch voor de kick van de hack?

hardwareaddict @Biersteker • 6 mei 2014 11:31

In india is 356 dollar een fortuin. De senior software engineers aldaar doen tussen de 150 dollar per maand en de 500 per maand.

FreshMaker @Biersteker • 6 mei 2014 07:35

Smartphones zijn stukken sneller dan een PVR, en 1 miljoen van die PVRs die exposed staan, dat is een absurd aantal en zal niet gehaald/gevonden worden. Als je hiermee meer dan 1 btc per maand maakt met 150k clients zal het veel zijn.

Do you want to do the math?

1 btc per maand, is nu 300€
Waar je niets verder voor moet doen, dat is niet niets.
Als je op die manier al bezig bent ( low power apparaten inzetten ) dan ga je ook verder kijken, en vindt je nog wel andere device's ook die dat voor je kunnen doen.

wie het klein niet eert .....

Zyppora @FreshMaker • 6 mei 2014 08:30

1 btc per maand teken ik voor, zeker als ik daar verder helemaal geen ene moer voor hoef te doen. Je hoeft de apparaten niet aan te schaffen, niet te onderhouden, je hoeft geen energiekosten te betalen, en het geld komt automatisch binnen. En dat allemaal omdat je één machine (bot(net) in Oost-Europa?) ingericht hebt op portscanning en verspreiding van mining scripts.

Maar het feit blijft natuurlijk dat het onderliggend bericht kraakhelder is: zorg ervoor dat de apparaten die je op het internet aansluit, beveiligd zijn. Dat, en hang niet zomaar elk apparaat met een ethernet poort aan het internet. Het feit dat het kan, wil niet zeggen dat het verstandig is.

TD-er

@GeoBeo • 5 mei 2014 21:07

Als het nutteloos was zouden ze het niet doen.

Had laatst uitgerekend dat je met 1 miljoen smartphones die staan te minen ongeveer 10k EUR per maand verdient. Zelfs 100.000 stuks zou best aardig zijn en dat is echt niet zo moeilijk te halen als al je scripts geautomatiseerd zijn en je in allerlei apparaten binnenkomt...

Vergeet niet dat grote kabelbedrijven vaak lange tijd dezelfde hardware leveren en dus potentieel miljoenen van dezelfde apparaten te vinden zijn. Vaak wordt de firmware ook nauwelijks tot niet bijgewerkt, dus eenmaal binnen kun je er lange tijd van "genieten".
Punt is alleen wel dat menigeen vast wel achter een of andere NAT constructie zit, dus de PVR's moeten dan toch minder goed benaderbaar zijn. Maar misschien zetten die dingen ook wel wat dingen open zodat de provider bepaalde dingen kan doen

AutisticPinguin @TD-er • 6 mei 2014 09:27

Het gaat hier niet om een digitale TV recorder maar om een DVR. Het staat een beetje krom in het nieuwsbericht. Het apparaat wordt gebruikt om analoge beveiligingscamera's op te nemen.

In de meeste installaties staan deze apparaten altijd achter een NAT en zijn alleen te benaderen op specifieke poorten die uiteraard eerst open gezet moeten worden.

Damic @TD-er • 5 mei 2014 22:08

NAT met uPNP geactiveerd = feest

rvbezooijen @Damic • 6 mei 2014 07:38

Maar misschien zetten die dingen ook wel wat dingen open zodat de provider bepaalde dingen kan doen
&
NAT met uPNP geactiveerd = feest

Om deze redenen heb ik dus mijn eigen router achter die van de provider hangen, zo dat ik dit soort dingen kan voorkomen.

BenGenaaid @Damic • 6 mei 2014 12:37

Verklaar je nader

NAT met uPNP geactiveerd = feest

Ik bedoel, zolang je een (sterk) password nodig hebt om de NAT (lees router van de ISP) binnen te komen, maakt het toch niet uit of je nou uPnP wel of niet hebt geactiveerd, je moet alleen geen default password hebben om de router interface te benaderen. Anders maak je het "bezoekers" inderdaad wel erg gemakkelijk.

of denk ik hier nou te makkelijk over.

Zonder de uPNP aan doet de IPTV , media server, printer server en Samba server en de QoS en de NAT voor P2P (vuze) in je modem / router het niet..... dus soms is deze uPnP noodzakelijk (of je koopt zelf een modem/router ipv die van je provider te gebruiken waar dit uitschakelen van uPnP geen gevolgen heeft).

edit : oh en natuurlijk het password niet opslaan in firfox IE safari opera etc.
edit 2... toevoeging noodzaak gebruik uPnP voor gebruik van extra functies in het modem/router.

[Reactie gewijzigd door BenGenaaid op 23 juli 2024 00:06]

Gomez12 @GeoBeo • 5 mei 2014 20:56

Ook al is het nutteloos, ze doen het toch...

Dit zijn gewoon bots/scripts die gewoon alles aanvallen wat ze maar kunnen vinden.

Een "slimme" hacker die schrijft een paar extra regels in het script waardoor hij de host kan categoriseren en bijv niet inzet voor BTC maar wel voor een DDOS, maar de simpele scriptkiddie die draait het script en denkt : Dat aanpassen van dat script is me te ingewikkeld, die paar niet producerende pak ik wel mee.

FreezeXJ @Gomez12 • 6 mei 2014 08:19

Lijkt me niet, zeker niet als je expliciet op zo'n VCR moet inloggen, en er niet met de gebruikelijke verbindingen in kunt maar moet telnetten. Voor 99% van de toepassingen (zeker minen waarbij je redelijk vlot moet reageren) is dat een beroerd slechte methode. Dit lijkt dus wel degelijk op maatwerk, toegespitst op VCRs of andere trage devices.

Verwijderd @GeoBeo • 5 mei 2014 23:41

hoe heb je dat becijferd? en voor welke coins?

GigaPixels @Biersteker • 5 mei 2014 20:45

"Vele handen maken licht werk", zegt het spreekwoord.

Het ging bovendien over Litecoin, dewelke scrypt gebruikt als Proof of Work. Scrypt is gekend dat het beter valt te minen (efficiënter) op CPU's dan SHA-256 waarmee Bitcoin werkt.

Powermage @Biersteker • 5 mei 2014 20:46

Ze targetten gewoon elke linuxdoos die ze binnen kunnen komen, oke, per stuk en gemiddeld zal zo een DVR niet heul veel doen, maar stel dat je met het automatisch hacken tienduizenden machines (krachtig en niet krachtig) weet te vinden, ik denk dat t best lekker kan verdienen.

Kevinp @Biersteker • 5 mei 2014 23:19

Maar op kosten van een ander, dus elke bitcoin is er een.

ps22geert 6 mei 2014 00:38

Er bestaan al friggos en wasmachines die aangesloten kunnen worden op het internet, gaan we die straks ook kunnen gebruiken voor bitcoin minen

FreshMaker @ps22geert • 6 mei 2014 07:45

Er bestaan al friggos en wasmachines die aangesloten kunnen worden op het internet, gaan we die straks ook kunnen gebruiken voor bitcoin minen

Worden gelijk witgewassen dan

Eloy 5 mei 2014 21:03

Het lijkt alsof de hackers gewoon SSH wachtwoorden aan het bruteforcen waren op Linux machines die op het internet zijn aangesloten. Waarschijnlijk wisten ze niet eens dat ze een digitale videorecorder aan het hacken waren

mobrockers @Eloy • 5 mei 2014 21:48

Het had geen ssh alleen telnet, en ze zetten miners er op die werkten, ze wisten wat voor ding het was.

WhiteDog @mobrockers • 5 mei 2014 22:30

Via echo of print commando's een binair bestand wegschrijven is anders iets dat heel laagdrempelig is en op zowat elk unix of windows systeem zal werken. Je bent namelijk niet gebonden aan de aanwezigheid van wget of een ander hulpprogramma. Op een NAS bv. is wget niet altijd aanwezig terwijl een NAS net een interessant doelwit is. Het is ook erg inventief omdat je het niet verwacht en het niet opvalt in je processenlijst. Een gelanceerd wget process wordt al wel is door bepaalde beveiligingssoftware opgepikt. Een slimme hack dus die op erg veel systemen zal werken.

De enige real-time bescherming hiertegen is een goede AV-oplossing die het bestand bij elke write scant. Gelukkig vallen bitcoin miners heel hard op doordat je CPU de pan uit swingt. Bij een NAS, camera, ... ga je dit echter minder snel door hebben.

Waar het hier vooral over gaat is dat men gebruik maakt van de meest basic commando's om uiteindelijk de miner op het systeem te krijgen en te laten draaien.

[Reactie gewijzigd door WhiteDog op 23 juli 2024 00:06]

OverSoft @WhiteDog • 5 mei 2014 23:09

De hacker wist wel welke architectuur hij aan het hacken was, aangezien hij een ARM binary wegschreef en geen x86 binary (waar de meeste machines op draaien).

TonnyTonny @OverSoft • 5 mei 2014 23:37

Welnee. Schrijf gewoon beide weg en start ze allebei.
Niks slims aan.

delenn @TonnyTonny • 6 mei 2014 08:17

uname -a

TonnyTonny @delenn • 6 mei 2014 08:53

Kan ook. Als uname is geimplementeerd tenminste.
Da's niet altijd het geval op een embedded device.

Verwijderd 5 mei 2014 20:36

het doet je afvragen of ze je tv of dergelijke ook niet gebruiken om te minen.

GigaPixels @Verwijderd • 5 mei 2014 20:46

Als je TV kan worden aangesloten op het internet (Smart TV's), dan bestaat die mogelijkheid inderdaad.

Zo niet, dan moet er al fysieke toegang zijn tot het toestel, wat zeer onwaarschijnlijk is.

kwikstaart @GigaPixels • 6 mei 2014 09:46

Niet alleen internet-toegang, maar er moet toch ook port-forwarding ingesteld zijn voordat hackers in staat zijn je tv te hacken? Tenminste, zoals ik het verhaal lees werd er direct op de recorder ingelogd. Er werd dus niet gebruik gemaakt van een in het lokale netwerk gehackte computer. Port forwarding is zeer onwaarschijnlijk, dus dat moet je handmatig instellen, of je moet je recorder rechtstreeks op internet aansluiten, dus direct op het modem. Ook dat is onwaarschijnlijk, tenzij je dat bewust doet om te kijken hoever hackers kunnen komen.

Wel interessant is de mogelijkheid om in een netwerk met een besmette computer op zoek te gaan naar een apparaat zoals dit, wat niet gemonitord wordt, en dat te voorzien van een rootkit. Als die besmette computer eenmaal opgeschoond is, dan kan de recorder weer z'n werk doen en een andere computer besmetten.

--Andre-- @kwikstaart • 6 mei 2014 13:06

Als er een IPv6 verbinding is, heb je geen NAT dus hoef je ook geen poorten te forwarden.

cyberstalker @GigaPixels • 6 mei 2014 09:20

Om succesvol te minen heb je altijd een internetverbinding nodig. Je moet namelijk de recente transacties in jouw block bevestigen. Zonder verbinding kun je dus niet minen.

jpsch 5 mei 2014 22:00

Straks internet of things. Staat je thermostaat en koelkast te mijnen..

Chrotenise @jpsch • 5 mei 2014 22:08

En klanten maar klagen dat ze niet hun geadverteerde internetsnelheid behalen

WhatsappHack

Beveiliging en antivirus

@Chrotenise • 6 mei 2014 03:37

Zo'n miner kost gelukkig enkel veel rekenkracht (en dus stroom); dataverkeer vreet het echt nauwelijks. Luttele paar kb/sec. Daar merk je het niet aan als je spullen staan te minen.

Valt me op dat de videorecorder kennelijk geen problemen had met het leveren van afspeelkwaliteit, ondanks de minerS. Hard real-time geforceerd I guess... Of een slim script.

Tonko Boekhoud @jpsch • 5 mei 2014 23:19

Nou ja, als 'ie dan ook meteen de online boodschappen doet en bij appie afrekent met die geminede bitcoins, dan heeft het wel wat :-)

Gmount 5 mei 2014 20:48

tja ook tv's en dat soort apparaten krijgen steeds krachtigere hardware. Als het ze zou lukken om dit op een apparaat als de PS4 of xBox one te doen hebben ze er nog wat aan ook.

ben wel benieuwd hoeveel van deze mediarecorders je nodig hebt om net zo veel als één videokaart te doen

Wolfos @Gmount • 5 mei 2014 21:44

Die zijn juist goed beveiligd tegen het draaien van ongeauthoriseerde code, want daar hebben MS en Sony baat bij.

Verwijderd 5 mei 2014 20:54

Het zijn vooral geautomatiseerde hacks vanaf verschillende IP's over de hele wereld. Ik zie het constant op enkele VPS'en voorbij komen, firewall giert de gehele dag door met het afweren van met name bruteforce aanvallen.

Eerlijk gezegd wel een +1 artikel, mede door het hacken van een videorecorder.

1 apparaat doet weinig maar een legio aan apparaten kunnen verschil maken. Niemand zal snel merken dat zijn apparaat gehacked is en dat het mee staat te kachelen in een wereldwijd netwerk.

Met regelmaat heb ik PC's met een bitcoinminer schoongemaakt van virussen. Ze vonden het vreemd dat de koeler zo tekeer ging bij het minst geringste

Thulium @Verwijderd • 6 mei 2014 00:02

Wat betreft je VPSjes op het internet: sshguard

Dat scheelt je in ieder geval wat MB's aan loginfo

dan mag je 3x proberen in te loggen, daarna wordt je voor een bepaalde tijd geblokt. Combineer dat met ssh-keys en zet passwordlogins uit, dan heb je d'r bijna geen last meer van ;-)

Op dit item kan niet meer gereageerd worden.

'Hacker gebruikte digitale videorecorder voor bitcoinmining'

Lees meer

Reacties (81)

Sorteer op:

Weergave: