Криптовалюта Hack: LA Times Останній Стверджуваний Cryptojacking жертва

Невідомий хакер або група хакерів таємно вставили рядки коду в Los Angeles Times до ресурсів процесора публікації, а також до криптовалюти Monero.

Цей компроміс на веб-сайті інформаційної організації спочатку був помічений Трі Муршем, дослідником з безпеки у звіті про негативні пакети. Знайдений ним код був заплутаним скриптом Coinhive, компанією, що займається криптовалютою, що пропонує користувачам JavaScript шахраря як спосіб монетизації веб-сайтів. Шахтар з тих пір був видалений.

Хоча цей нетрадиційний метод видобутку криптовалют може виявитися новим для деяких, ця остання атака, відома як криптопак, показує, як вона може бути зловмисно використана для відтворення того самого типу атаки, яку Тесла і Google Chrome нещодавно стали жертвою.

#Coinhive знайдено в @latimes "Звіт про вбивства"

На щастя, цей випадок #cryptojacking придушується і не вбиває ваш процесор.

Використовуючи @urlscanio, ми знаходимо Coinhive, що ховається в:

http: //latimes-graphics-media.s3.amazonaws. com / js / leaflet.fullscreen-master / Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ

- Звіт про погані пакети (@bad_packets) 21 лютого 2018 року

Суть того, що привело LA Times щоб отримати удар з цією атакою, було неправильне налаштування в сервері Amazon AWS S3 - відомому як відро S3 - публікація використовується. Після копання по серверу, Mursch сказав, що це дало кожному можливість просто вставити свої власні рядки коду на сервер.

Британський дослідник інформаційної безпеки Кевін Бомонт підкреслив, що це широко поширена проблема з великою кількістю S3 відра, які, як відомо, є загальнодоступними. Це означає, що кожен може переглядати свій базовий код, але не може редагувати його. Але все, що потрібно, - це проста помилка, і будь-хто в Інтернеті зможе читати і писати в них.

Проблема полягає не лише у відкритих для зчитування сегментах S3, а й у цьому. Це мішок феєрверків, який чекає на вимикання (див. Також те, що трапилося з відкриттям екземплярів MongoDB).

- Кевін Бомонт (@GossiTheDog) 20 лютого 2018 року

Бомон навіть зміг знайти дружнє попередження LA Times Відро S3, яке попереджало публікацію про те, що їх сервер по суті відкритий для публіки.

“Привіт, Це дружнє попередження про те, що налаштування ковша Amazon AWS S3 неправильні. Будь-хто може написати у цей сегмент. Будь ласка, виправте це перед тим, як поганий хлопець знайде його », - сказав він.

На жаль, повідомлення дружнього хакера не пройшло вчасно, і якщо власне попередження Бомонта є вірним, то існує багато серверів, які могли б невідомо видобувати Monero або використовуватися для інших грізних цілей.

Якщо ви користуєтеся серверами Amazon, краще зробити звичку перевіряти їх налаштування.