Cryptocurrency Hack: LA Times Najnovšie údajné obete Cryptojacking

Neznámy hacker alebo skupina hackerov tajne vložili do kódu riadky kódu Los Angeles Times server, aby sa dostal do zdrojov CPU publikácie a vyťažil si kryptocurrency Monero.

Tento kompromis webového sídla spravodajskej organizácie pôvodne v stredu objavil bezpečnostný výskumník spoločnosti Troy Mursch v správe Bad Packets Report. Kód, ktorý našiel, bol zmätený skript Coinhive, spoločnosť krypto-menovej ťažby, ktorá ponúka používateľom JavaScript miner ako spôsob, ako speňažiť webové stránky. Baník bol odvtedy odstránený.

Zatiaľ čo táto netradičná metóda banskej kryptografie by mohla byť pre niektorých novinkou, tento posledný útok, známy ako cryptojacking, ukazuje, ako sa môže zlomyseľne použiť na vytvorenie rovnakého typu útoku Tesla a prehliadača Google Chrome, ktorý sa nedávno stal obeťou.

#Coinhive sa nachádza na @latimes "The Homicide Report"

Našťastie tento prípad #cryptojacking je škrtený a nebude vraždiť váš procesor.

Pomocou @urlscanio nájdeme Coinhive skrývajúci sa v:

http: //latimes-graphics-media.s3.amazonaws. com / js / leaflet.fullscreen-master / Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ

- Bad Packets Report (@bad_packets) 21. február 2018

Jadro toho, čo viedlo LA Times získať hit s týmto útokom bola nesprávna konfigurácia v Amazon AWS S3 server - známy ako vedro S3 - publikácia používa. Po vykopaní na serveri Mursch povedal, že dáva komukoľvek možnosť jednoducho vložiť do servera vlastné riadky kódu.

Britský výskumník informačnej bezpečnosti Kevin Beaumont zdôraznil, že ide o rozšírený problém s veľkým počtom vedier S3, o ktorých je známe, že sú verejne čitateľné. To znamená, že každý môže zobraziť svoj základný kód, ale nie ho upraviť. Jediné, čo je potrebné, je jednoduchá nesprávna konfigurácia a ktokoľvek by mohol čítať a písať do nich.

Problém nie je len verejne čitateľný S3 bucket, ale aj toto. Je to vrece ohňostrojov, ktoré čakajú na vypnutie (pozrite si tiež, čo sa stalo s prípadmi otvorenia inštancií MongoDB).

- Kevin Beaumont (@GossiTheDog) 20. februára 2018

Beaumont bol dokonca schopný nájsť priateľské varovanie v LA Times S3 vedro, ktoré varovalo publikáciu, že ich server je v podstate otvorený pre verejnosť.

„Ahoj, Toto je priateľské varovanie, že nastavenie vášho vedra Amazon AWS S3 je nesprávne. Ktokoľvek môže zapísať do tohto vedra. Opravte to skôr, než to nájde zlý človek, “uviedla správa.

Bohužiaľ, toto priateľské hackerské posolstvo sa nedostalo včas a ak je pravda, že Beaumont má vlastné varovanie, je tam veľa serverov, ktoré by mohli nevedomky ťažiť z Monera alebo použiť na iné hanebné účely.

Ak používate servery Amazon, bolo by najlepšie skontrolovať ich nastavenia.