Des milliers de sites du monde entier sur divers sujets ont
exploité la crypto-monnaie Monero pendant plusieurs heures à l'insu de leur propre administration et des visiteurs de leur site Web. Le problème est qu'un plugin appelé
Browsealoud , créé par Texhelp, a été infecté par un cryptominer. Le plugin est conçu pour les personnes ayant des problèmes de vision, il lit automatiquement le texte de l'écran pour les utilisateurs qui ne voient pas du tout, ou voient, mais mal.
Le plugin a été piraté et inconnu alors que les attaquants ont téléchargé le code du mineur de crypto-monnaie Monero. Le mineur est bien connu - c'est Coinhive, qui est populaire parmi les «crackers crypto». Hier, des milliers de sites avec un plug-in compromis pendant plusieurs heures ont gagné de la crypto-monnaie pour les attaquants. Le nombre total de sites touchés par le piratage s'élevait à
4 200 adresses .
Il s'agit notamment de nombreux sites du gouvernement américain, des ressources du gouvernement britannique et autrichien, et d'autres. Manchester.gov.uk, NHSinform.scot, agriculture.gov.ie, Croydon.gov.uk, ouh.nhs.uk, legislation.qld.gov.au - seulement une petite fraction des sites infectés par le mineur. Le réseau a conservé les deux pages «propres» dans le cache,
sans mineur , et avec
lui . Le script lui-même ne fonctionne que lorsque l'utilisateur ouvre une page avec lui. Vous ne pouvez pas infecter votre PC - ici, le calcul est précisément pour l'exploitation minière avec l'aide de visiteurs de diverses ressources.
Fait intéressant, le code intégré a été obscurci, mais la protection n'est pas très bonne. Une fois traduit en ASCII, le script montre tous ses secrets.
Pour la première fois, le code mineur a été découvert par le consultant en sécurité réseau Scott Helm, après quoi l'infection de nombreux sites a été confirmée par la ressource The Register. Le consultant et d'autres spécialistes conseillent aux propriétaires de sites d'utiliser une technologie spécialisée appelée SRI (Subresource Integrity). La technologie empêche les utilisateurs malveillants d'infecter les sites Web en injectant du code.
Si aucune action n'est entreprise, personne n'est protégé contre les actions des crackers. Le fait est qu'une énorme quantité de ressources utilise des plug-ins, des extensions, des interfaces et des thèmes tiers. Si la version originale de l'un des éléments ci-dessus contient du code intégré, il se propagera progressivement à toutes les ressources qui utilisent des éléments empruntés.
Eh bien, SRI utilise la vérification de l'authenticité du code. Si quelque chose ne va pas, le script infecté ne se chargera pas.
Après que le piratage soit devenu connu, Texthelp a annoncé qu'il avait déjà supprimé le code malveillant de son plugin, donc maintenant personne n'aura de problèmes. De plus, le plugin est déjà protégé contre les infections du type utilisé dans le cas actuel. Par conséquent, à l'avenir, le même plugin peut être utilisé sans aucun problème (bien sûr, jusqu'à ce que quelqu'un découvre une autre vulnérabilité et en profite).
Sur Twitter, les représentants de l'entreprise ont déclaré que les spécialistes ont commencé à résoudre le problème dès qu'ils l'ont découvert. "Notre service de démarrage a été temporairement arrêté pendant la durée de l'enquête." La société a également déclaré que le problème avait été résolu si rapidement car Texthelp avait un plan pour faire face au piratage depuis l'année dernière. Ce plan est régulièrement mis à jour et testé en mode entraînement.
En plus de résoudre le problème, l'entreprise a réussi à réaliser que les données utilisateur (c'est-à-dire les utilisateurs du plugin) n'étaient pas volées ou perdues. Tout est à sa place.
Quant au mineur lui-même, il n'est pas toujours installé par des attaquants. Parfois, les créateurs / administrateurs de site le font. Par exemple, il n'y a pas si longtemps, l'équipe de suivi de ThePirateBay a installé le même mineur sur les pages de ressources, après quoi les fonds ont commencé à être envoyés au portefeuille «pirates». La situation n'a été constatée que parce que la première (mais pas la dernière) fois, lorsque ThePirateBay a agi de cette façon, le mineur a consommé une grande quantité de ressources de PC utilisateur, ce qui a rendu les processus extrêmement lents.