Tausende Websites auf der ganzen Welt zu verschiedenen Themen haben
die Monero-Kryptowährung mehrere Stunden lang ohne Wissen ihrer eigenen Verwaltung und ihrer Website-Besucher
abgebaut . Das Problem ist, dass ein von
Texhelp erstelltes Plugin namens
Browsealoud mit einem Cryptominer infiziert wurde. Das Plugin wurde für Personen mit Sehproblemen entwickelt. Es liest automatisch Text vom Bildschirm für Benutzer, die entweder überhaupt nicht oder nur schlecht sehen.
Das Plugin wurde gehackt und war ihm unbekannt, während Angreifer den Code des Monero Cryptocurrency Miner heruntergeladen haben. Der Bergmann ist bekannt - dies ist Coinhive, das bei „Crypto Crackern“ beliebt ist. Gestern haben Tausende von Websites mit einem kompromittierten Plug-In für mehrere Stunden Kryptowährung für Angreifer verdient. Die Gesamtzahl der von Hacking betroffenen Websites betrug
4200 Adressen .
Dazu gehören viele Websites der US-Regierung, Ressourcen der britischen und österreichischen Regierung und andere. Manchester.gov.uk, NHSinform.scot, Agriculture.gov.ie, Croydon.gov.uk, ouh.nhs.uk, Gesetzgebung.qld.gov.au - nur ein kleiner Teil der Websites, die vom Bergmann infiziert wurden. Das Netzwerk hat beide "sauberen" Seiten im Cache
ohne Miner und
damit beibehalten. Das Skript selbst funktioniert nur, wenn der Benutzer eine Seite damit öffnet. Sie können Ihren PC nicht infizieren - hier ist die Berechnung genau für den Abbau mit Hilfe von Besuchern verschiedener Ressourcen vorgesehen.
Interessanterweise wurde der eingebettete Code verschleiert, aber der Schutz ist nicht sehr gut. Bei der Übersetzung in ASCII zeigt das Skript alle seine Geheimnisse.
Zum ersten Mal wurde der Miner-Code vom Netzwerksicherheitsberater Scott Helm entdeckt. Danach wurde die Infektion vieler Websites durch die Ressource The Register bestätigt. Der Berater und andere Spezialisten empfehlen den Websitebesitzern, eine spezielle Technologie namens SRI (Subresource Integrity) zu verwenden. Die Technologie verhindert, dass böswillige Benutzer Websites infizieren, indem sie Code einfügen.
Wenn keine Maßnahmen ergriffen werden, ist niemand vor den Maßnahmen von Crackern geschützt. Tatsache ist, dass eine große Menge von Ressourcen Plug-Ins, Erweiterungen, Schnittstellen und Themen von Drittanbietern verwendet. Wenn die Originalversion eines der oben genannten Elemente eingebetteten Code enthält, wird dieser schrittweise auf alle Ressourcen verteilt, die ausgeliehene Elemente verwenden.
Nun, SRI verwendet die Überprüfung der Authentizität des Codes. Wenn etwas nicht stimmt, wird das infizierte Skript nicht geladen.
Nachdem der Hack bekannt wurde, gab Texthelp bekannt, dass der Schadcode bereits aus dem Plugin entfernt wurde, sodass jetzt niemand mehr Probleme haben wird. Darüber hinaus ist das Plugin bereits vor Infektionen des im aktuellen Fall verwendeten Typs geschützt. Daher kann in Zukunft dasselbe Plugin problemlos verwendet werden (natürlich bis jemand eine andere Sicherheitsanfälligkeit entdeckt und diese ausnutzt).
Auf Twitter sagten Unternehmensvertreter, dass Spezialisten mit der Lösung des Problems begonnen hätten, sobald sie davon erfahren hätten. "Unser Boot-Service wurde für die Dauer der Untersuchung vorübergehend eingestellt." Das Unternehmen gab auch an, dass das Problem so schnell gelöst wurde, weil Texthelp seit letztem Jahr einen Plan zur Behebung des Hacks hat. Dieser Plan wird regelmäßig aktualisiert und im Trainingsmodus getestet.
Zusätzlich zur Lösung des Problems gelang es dem Unternehmen, die Tatsache zu erreichen, dass Benutzerdaten (dh Benutzer des Plugins) nicht gestohlen wurden oder verloren gingen. Alles ist an seinem Platz.
Der Bergmann selbst wird nicht immer von Angreifern installiert. Manchmal tun dies Ersteller / Site-Administratoren. Zum Beispiel hat das ThePirateBay-Tracker-Team vor nicht allzu langer Zeit denselben Miner auf den Ressourcenseiten installiert. Danach wurden die Mittel an die Brieftasche „Piraten“ gesendet. Die Situation wurde nur bemerkt, weil der Miner beim ersten (aber nicht beim letzten) Mal, als ThePirateBay auf diese Weise handelte, eine große Menge an Benutzer-PC-Ressourcen verbrauchte, wodurch die Prozesse extrem langsam waren.