Cryptocurrency Hack: LA Times Legfrissebb feltételezett Cryptojacking áldozat

Egy ismeretlen hacker vagy a hackerek csoportja titkos módon beillesztette a kódokat Los Angeles Times a kiszolgáló, hogy belépjen a kiadvány CPU erőforrásaiba, és feltárja a cryptocurrency Monero-t.

Ezt a kompromisszumot a hírszervezet honlapján kezdetben szerdán Troy Mursch, a Bad Packets Report biztonsági kutatója látta. A talált kód egy elkeseredett Coinhive szkript, egy cryptocurrency-bányászati ​​cég, amely a felhasználóknak JavaScript-bányászokat kínál a weboldalak bevételéhez. Azóta a bányász eltávolították.

Míg ez a nem hagyományos módszer a cryptocurrency bányászatának újdonsága lehet, ez a legújabb támadás, amit cryptojackingnek neveznek, megmutatja, hogyan lehet rosszindulatúan felhasználni az azonos típusú támadások újbóli létrehozására.

#Coinhive megtalálható @latimes "The Homicide Report"

Szerencsére ez a #cryptojacking eset fojtva van, és nem fogja meggyilkolni a CPU-t.

A @urlscanio használatával találjuk Coinhive-t, amely elrejti a következőket:

http: //latimes-graphics-media.s3.amazonaws. com / js / leaflet.fullscreen-master / Control.FullScreen.js pic.twitter.com/VOv5ibUtwJ

- Bad Packets Report (@bad_packets) 2018. február 21.

Az a lényeg, ami az LA Times hogy az ütközés során az Amazon AWS S3 szerveren - az S3 vödörben ismert - hibás beállítást használjon a kiadványban. A szerver körüli ásás után Mursch azt mondta, hogy bárki számára lehetővé tette, hogy egyszerűen beilleszthesse saját kódsorát a szerverbe.

Kevin Beaumont brit információbiztonsági kutató kiemelte, hogy ez egy széles körben elterjedt probléma az S3 vödrök nagy számával, amelyekről ismert, hogy nyilvánosan olvashatók. Ez azt jelenti, hogy bárki megtekintheti a mögöttes kódot, de nem szerkesztheti. De mindössze egy egyszerű téves beállítás, és bárki online képes olvasni és írd be őket.

A probléma nem csak a nyilvánosan olvasható S3 vödör, hanem ez is. Ez egy zsák tűzijáték várakozásra (lásd még, mi történt a MongoDB példányok megnyitásával).

- Kevin Beaumont (@GossiTheDog), 2018. február 20.

Beaumont még a barátságos figyelmeztetésre is képes volt LA Times S3 vödör, amely figyelmeztette a kiadványt, hogy kiszolgálójuk lényegében nyitva áll a nyilvánosság számára.

„Helló! Ez egy barátságos figyelmeztetés, hogy az Amazon AWS S3 vödör beállításai tévesek. Bárki írhat erre a vödörre. Kérjük, javítsa ki, mielőtt egy rosszfiú találja meg ezt - mondta az üzenet.

Sajnos ez a barátságos hacker üzenete nem jött át időben, és ha Beaumont saját figyelmeztetése igaz, akkor rengeteg szerver létezik, amelyek tudatlanul bányászhatnak a Monerót, vagy más rosszindulatú célokra használhatók.

Ha az Amazon szervereit használja, akkor a legjobb lenne, ha szokásuk lenne ellenőrizni a beállításokat.