Взломщики внедрили скрипт майнера в тысячи сайтов, включая правительственные ресурсы Великобритании и США +9

- такой же как Forbes, только лучше.



Тысячи сайтов по всему миру самых разных тематик майнили криптовалюту Monero в течение нескольких часов без ведома на то собственной администрации и посетителей сайтов. Проблема заключается в том, что криптомайнером был заражен плагин, который называется Browsealoud, созданный компанией Texhelp. Плагин разработан для людей с проблемами зрения, он в автоматическом режиме читает текст с экрана для тех пользователей, кто либо не видит вовсе, либо видит, но плохо.

Плагин был взломан, и в него неизвестные пока злоумышленники загрузили код майнера криптовалюты Monero. Майнер хорошо известен — это Coinhive, который популярен среди «криптовзломщиков». Вчера тысячи сайтов со скомпрометированным плагином в течение нескольких часов зарабатывали криптовалюту для злоумышленников. Общее количество сайтов, которые были затронуты взломом, составило 4200 адресов.

В их число входят многие американские государственные сайты, ресурсы правительства Великобритании и Австрии и другие. Manchester.gov.uk, NHSinform.scot, agriculture.gov.ie, Croydon.gov.uk, ouh.nhs.uk, legislation.qld.gov.au — только малая толика тех сайтов, что были заражены майнером. В сети сохранились как «чистые» страницы в кэше, без майнера, так и с ним вместе. Сам скрипт работает только тогда, когда пользователь открывает страницу с ним. Заразить свой ПК нельзя — здесь расчет именно на майнинг при помощи посетителей самых разных ресурсов.



Интересно, что внедренный код был обфусцирован, но защита не слишком хороша. При переводе в ASCII скрипт показывает все свои секреты.

Впервые код майнера был обнаружен консультантом по сетевой безопасности Скоттом Хельмом, после него факт заражения многих сайтов был подтвержден ресурсом The Register. Консультант и другие специалисты советуют владельцам сайтов использовать специализированную технологию, которая называется SRI (Subresource Integrity). Технология предотвращает возможность заражения злоумышленниками веб-сайтов путем внедрения какого-либо кода.

Если не предпринимать никаких действий, то от действий взломщиков не защищен никто. Дело в том, что огромное количество ресурсов использует плагины, расширения, интерфейсы и темы сторонних производителей. Если в исходном варианте чего-либо из перечисленного содержится внедренный код, то он постепенно распространится по всем тем ресурсам, которые используют заимствованные элементы.

Ну а SRI использует сверку аутентичности кода. Если что-то не так, то загружаться инфицированный скрипт не будет.

После того, как о взломе стало известно, компания Texthelp заявила о том, что она уже убрала вредоносный код из своего плагина, так что теперь проблем ни у кого не будет. Кроме того, плагин уже защищен от заражений того типа, которое было использовано в текущем случае. Следовательно, в будущем этот же плагин можно использовать без всяких проблем (конечно, пока кто-то не обнаружит очередную уязвимость и не воспользуется ею).

В Twitter представители компании сообщили, что к решению проблемы специалисты приступили, как только узнали о ней. «Наш загрузочный сервис был временно остановлен на время проведения расследования». Также компания заявила, что проблема была решена так быстро потому, что с прошлого года у Texthelp есть план по ликвидации последствий взлома. Этот план регулярно актуализируется и тестируется в учебном режиме.

Кроме решения проблемы, компании удалось добиться еще и того, что пользовательские данные (имеются в виду пользователи плагина) не были украдены или утеряны. Все находится на своих местах.

Что же касается самого майнера, то его не всегда устанавливают злоумышленники. Иногда это делают и создатели/администраторы сайтов. Например, не так давно команда трекера ThePirateBay установила тот же майнер на страницы ресурса, после чего на кошелек «пиратов» стали поступать средства. Замечена ситуация была только потому, что в первый (но не последний) раз, когда ThePirateBay действовал подобным образом, майнер потреблял большое количество ресурсов пользовательских ПК, из-за чего процессы выполнялись крайне медленно.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (3):

  1. ozonar
    /#10609465

    Я не понимаю, как сама Coinhive умудряется остаться в стороне.

    Собственно, она могла бы решить все проблемы с вирусами-майнерами создав некую аутентификацию по записям DNS, например. Тогда майнили бы только те сайты, администраторы которых действительно этого хотят.

    • SopaXT
      /#10609523

      А разве им это выгодно?

      • ozonar
        /#10609625

        Не думаю, что для них репутация производителя вирусов (пусть и косвенного) выгодна. Некоторые браузеры начинают полностью блокировать майнинг скрипты, разрабатываются расширения для браузеров с той же функциональностью, что в дальнейшем приведёт к уничтожению или кардинальному уменьшению их бизнеса.

        Я предполагаю, что Coinhive хотели сделать заработок с майнера как аналог заработка с рекламы на сайтах, а получили короткий период хайпа и ненависть к их майнеру от достаточно большой части аудитории и блокировки.

        Почему вот это всё им должно быть выгодно?