Взлом криптовалюты: LA Times - предполагаемая жертва криптовалюты

Неизвестный хакер или группа хакеров тайно вставили строки кода в Los Angeles Times сервер, чтобы задействовать ресурсы процессора публикации и добывать криптовалюту Monero.

Этот компромисс веб-сайта новостной организации был первоначально обнаружен в среду Троем Мершем, исследователем безопасности в Bad Packets Report. Код, который он нашел, был запутанным скриптом Coinhive, компанией, занимающейся майнингом криптовалют, которая предлагает пользователям майнер JavaScript в качестве способа монетизации веб-сайтов. С тех пор майнер был удален.

Хотя этот нетрадиционный метод майнинга криптовалюты может оказаться для некоторых новшеством, эта последняя атака, известная как криптовалюта, показывает, как ее можно злонамеренно использовать для воссоздания того же типа атаки, жертвами которой недавно стали Tesla и Google Chrome.

#Coinhive найден на @latimes "Отчет об убийстве"

К счастью, этот случай #cryptojacking ограничен и не убьет ваш процессор.

Используя @urlscanio, мы обнаруживаем, что Coinhive скрывается в:

http: //latimes-graphics-media.s3.amazonaws. com / js / leaflet.fullscreen-master / Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ

- Отчет о плохих пакетах (@bad_packets) 21 февраля 2018 г.

Суть того, что привело LA Times публикация использовала неверную конфигурацию на сервере Amazon AWS S3, известном как сегмент S3. Покопавшись вокруг сервера, Мурш сказал, что он дает любому возможность просто вставлять свои собственные строки кода на сервер.

Британский исследователь информационной безопасности Кевин Бомонт подчеркнул, что это широко распространенная проблема с большим количеством блоков S3, которые, как известно, являются общедоступными. Это означает, что любой может просматривать свой основной код, но не редактировать его. Но все, что для этого нужно, - это простая неверная конфигурация, и любой пользователь сможет прочитать а также напиши в них.

Проблема не только в общедоступных блоках S3, но и в этом. Это пакет фейерверков, ожидающих выхода из строя (см. Также, что случилось с открытием экземпляров MongoDB).

- Кевин Бомонт (@GossiTheDog) 20 февраля 2018 г.

Бомонт даже смог найти дружеское предупреждение в LA Times Ведро S3, которое предупредило публикацию, что их сервер был по сути открыт для публики.

«Здравствуйте, это дружеское предупреждение о неправильной настройке корзины Amazon AWS S3. Любой может написать в это ведро. Пожалуйста, исправьте это, прежде чем плохой парень найдет это », - говорится в сообщении.

К сожалению, сообщение этого дружелюбного хакера не было передано вовремя, и, если собственное предупреждение Бомонта верно, существует множество серверов, которые могут неосознанно добывать Monero или использоваться для других гнусных целей.

Если вы используете серверы Amazon, лучше всего проверить привычные настройки.