Публичные серверы, используемые сообществом Electrum, уже несколько дней работают с перебоями из-за DDoS-атаки. Судя по всему, злоумышленники предприняли эту акцию, чтобы заставить пользователей загрузить зараженную версию биткойн-кошелька, размещенную на специально созданных площадках.

По имеющимся данным, текущая атака проводится с использованием ботнета, который был построен на основе оригинального зловреда, имитирующего подключения Electrum-клиента. В создании DDoS-трафика на уровне приложений принимают участие 150–300 тыс. уникальных узлов (IP-адресов). На некоторых атакуемых серверах интенсивность мусорного потока составила 25 Гбит/с.

Конечной целью злоумышленников является кража криптовалюты. Они подняли собственные Electrum-серверы, на которых разместили забэкдоренную версию кошелька. При подключении к такому узлу пользователю предлагают обновить клиент, однако после установки «обновления» кошелек жертвы мгновенно пустеет. По оценкам, атакующим уже удалось украсть миллионы долларов в криптовалюте; один из пострадавших потерял почти $140 тыс.

Похожую кампанию против Electrum злоумышленники провели в конце прошлого года, но в тот раз они разместили свой «апдейт» на GitHub, и этот источник был довольно быстро заблокирован. Предотвращать переходы по вредоносным ссылкам помогал специализированный сервис Google SafeBrowsing. Разработчики Electrum тоже приняли меры защиты — в частности, создали патч, позволяющий блокчейн-серверу принудительно выводить устаревшие, уязвимые клиенты в оффлайн. Для полноценного функционирования Electrum-кошельку требуется 8–10 соединений, и высока вероятность, что один из этих серверов обладает новой возможностью.

Похоже, что инициаторы текущей кампании учли изменения на сервисе и ошибки своих предшественников (если только это не одни и те же лица). Вместо репозитория GitHub они используют подставные Electrum-серверы — защитники насчитали более 200 доменов, раздающих зловреда. Неспешно обновляемые черные списки SafeBrowsing на сей раз оказались малоэффективными. К тому же злоумышленники стараются максимально ограничить количество доступных легитимных Electrum-серверов посредством DDoS-атаки. Чем больше их выйдет из строя, тем выше вероятность обращения клиента к вредоносному узлу.

Примечательно, что угроза заражения актуальна лишь для пользователей устаревших версий Electrum (ниже 3.3). К сожалению, на сервисе нет механизма автообновления, и уязвимых клиентов в сети много, что лишь на руку злоумышленникам.

 Владельцев новейших версий кошелька в настоящее время беспокоят только проблемы с подключением к сервису. Администраторы прилагают все усилия, чтобы снизить ущерб от DDoS-атаки, и надеются восстановить работоспособность систем в ближайшие дни. Разработчики Electrum также подготовили патч, лимитирующий потребление ресурсов для IP-адресов.

Пользователям рекомендуется деактивировать функцию автоматического подключения и ограничить попытки открытия сессии одним сервером — лучше собственным. На настоящий момент сносно доступны следующие TLS-узлы:

  • electrum.hodlister.co:50002
  • electrum.hsmiths.com:50002
  • ecdsa.net:110
  • dxm.no-ip.biz:50002
  • btc.jochen-hoenicke.de:50002

Тем, кто давно не апгрейдил Electrum-клиент, не стоит полагаться на непрошеные подсказки: обновления всегда следует загружать только из официальных источников — в данном случае с сайта Electrum (electrum.org) или из GitHub-репозитория spesmilo/electrum.

Категории: DoS-атаки, Вредоносные программы