Kryptowaluta Hack: LA Times Najnowsza domniemana ofiara kryptojackingu

Nieznany haker lub grupa hakerów potajemnie wstawiła linie kodu do Los Angeles Times serwer, aby wykorzystać zasoby procesora publikacji i wydobyć kryptowalutę Monero.

Ten kompromis strony internetowej organizacji prasowej został początkowo zauważony w środę przez Troya Murscha, badacza bezpieczeństwa w Bad Packets Report. Kod, który znalazł, był zaciemnionym skryptem Coinhive, firmą zajmującą się wydobywaniem kryptowalut, która oferuje użytkownikom kopalnię JavaScript jako sposób na zarabianie na stronach internetowych. Od tego czasu górnik został usunięty.

Chociaż ta nietradycyjna metoda wydobywania kryptowaluty może okazać się dla niektórych nowatorska, ten ostatni atak, znany jako cryptojacking, pokazuje, jak można go złośliwie wykorzystać do odtworzenia tego samego typu ataku, do którego niedawno Tesla i Google Chrome padły ofiarą.

#Coinhive można znaleźć na @latimes „The Homicide Report”

Na szczęście ten przypadek #cryptojacking jest ograniczony i nie zabije twojego procesora.

Za pomocą @urlscanio znajdujemy ukrywanie Coinhive w:

http: //latimes-graphics-media.s3.amazonaws. com / js / leaflet.fullscreen-master / Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ

- Raport Bad Packets (@bad_packets) 21 lutego 2018

Sedno tego, co doprowadziło LA Times uderzeniem tego ataku była błędna konfiguracja na serwerze Amazon AWS S3 - znana jako wiadro S3 - w publikacji. Po rozkopaniu serwera Mursch powiedział, że daje to każdemu możliwość wstawienia własnych linii kodu na serwer.

Brytyjski badacz bezpieczeństwa informacji Kevin Beaumont podkreślił, że jest to powszechny problem z dużą liczbą wiader S3, o których wiadomo, że są publicznie czytelne. Oznacza to, że każdy może wyświetlić swój kod źródłowy, ale nie może go edytować. Wystarczy jednak zwykła błędna konfiguracja, a każdy użytkownik online będzie mógł przeczytać i napisz do nich.

Problemem nie jest po prostu publicznie czytelne wiadra S3, ale także to. To worek fajerwerków czekających na uruchomienie (zobacz także, co się stało z otwarciem instancji MongoDB).

- Kevin Beaumont (@GossiTheDog) 20 lutego 2018 r

Beaumont był nawet w stanie znaleźć przyjazne ostrzeżenie LA Times Wiadro S3, które ostrzegało przed publikacją, że ich serwer jest zasadniczo otwarty dla publiczności.

„Witaj, jest to przyjazne ostrzeżenie, że ustawienie kubła Amazon AWS S3 jest nieprawidłowe. Każdy może pisać do tego wiadra. Napraw to, zanim znajdzie go zły człowiek ”- oświadczył.

Niestety, wiadomość tego przyjaznego hakera nie dotarła na czas i jeśli Beaumont ma własne ostrzeżenie, istnieje wiele serwerów, które mogą nieświadomie wydobyć Monero lub być wykorzystywane do innych nikczemnych celów.

Jeśli korzystasz z serwerów Amazon, najlepiej byłoby, gdybyś sprawdził ich ustawienia.