3

Rządowe strony kopały kryptowaluty. Nikt już nie jest bezpieczny?

Wchodzicie sobie spokojnie na którąś z rządowych witryn szukając przydatnych informacji. Ufacie, że nic złego nie może Was tu spotkać, prawda? No bo przecież to strona rządowa, stoi za nią sztab specjalistów od cyberbezpieczeństwa. Tymczasem podczas jej przeglądania Wasz komputer kopie kryptowaluty. Zaskoczeni?

Problem cryptojackingu

O zjawisku zrobiło się głośno we wrześniu ubiegłego roku, kiedy to pojawiła się nowa technologia służąca do kopania kryptowaluty Monero. Chodziło o wykorzystanie przeglądarki internetowej i specjalnie napisanego do tego celu skryptu. Kopie nieświadomy użytkownik, czyli osoba odwiedzająca zainfekowaną stronę, gdzie skrypt korzysta z mocy obliczeniowej jej komputera. To, ile tak nieświadomie wykopiemy zależy od czasu spędzonego na stronie. Bardziej świadomy użytkownik zacznie coś podejrzewać słysząc, że nagle podczas przeglądania internetu wentylatory komputera zaczynają dziwnie głośno chodzić – podejrzewam jednak, że większość uzna, że „to wina windowsa albo przeglądarki” i będzie siedzieć na stronie dalej. Dla hakerów to wręcz idealne rozwiązanie, na stronach z dużym ruchem (a najlepiej tych, gdzie spędza się dużo czasu, czyli na przykład na witrynach z pirackimi filmami czy serialami do obejrzenia online) kopią w ten sposób tysiące jeśli nie setki tysięcy użytkowników, co dla właściciela skryptu oznacza oczywiście zyski przy nieinwestowaniu we własne koparki i opłaty za prąd.

Pojawiły się oczywiście głosy, że można to traktować jako formę “zapłaty” za dostęp do “darmowych” materiałów, inni twierdzili, że to dobra kara za kradzież treści intelekturalnych w sieci. Dla osoby oglądającej oczywiście.

Ale czy spodziewalibyście się, że Wasz komputer zacznie kopać kryptowaluty gdy przeglądacie stroną rządową?

Bo ja nie. Wielokrotnie twierdziłem, że wiele stron, za którymi stoją duże pieniądze i dziesiątki osób na wyższych lub niższych stanowiskach państwowych trochę odstają wyglądem i funkcjonalnością od witryn tworzonych za zdecydowanie mniejsze pieniądze, często przez amatorów. Teraz okazuje się, że w kwestii bezpieczeństwa też można im wiele zarzucić – to oczywiście dość delikatne określenie sytuacji, w której po wejściu na rządową stronę zaczynamy kopać kryptowaluty.

Tymczasem pluginem do kopania kryptowalut zostało zarażonych tysiące stron, w tym również te będące własnością rządów USA i Wielkiej Brytanii. Wszystkie z zainfekowanych stron korzystały z wtyczki Browsealoud brytyjskiej firmy Texthelp. Ułatwia ona przeglądanie stron internetowych osobom niewidomym. Szczęście w nieszczęściu, że po kilkunastu godzinach udało się znaleźć infekcję – no ale co zostało pokopane, to hakerów. Plus oczywiście wizerunkowo pewnych rzeczy nie da się już odzyskać – można nawet przejrzeć listę stron, które zostały zainfekowane. Na szczęście nie mówi się o żadnym wycieku danych użytkowników.


Zaatakowane strony korzystały ze skryptu systemu Coinhive służącego do kopania kryptowaluty Monero, który zabiera przynajmniej 30% mocy komputera, z którego przeglądana jest strona.

W świetle innych tego typu ataków, które miały miejsce na całym świecie, przygotowywaliśmy się na podobny scenariusz przez prawie rok i kiedy tylko nastąpił atak, podjęliśmy działania. Texthelp prowadzi ciągłe, automatyczne testy bezpieczeństwa aplikacji Browsealoud i kiedy tylko odkryto modyfikację pliku, program od razu został wyłączony. To były działania o charakterze przestępczym, aktualnie trwa dochodzenie. Żadne dane użytkowników nie zostały skradzione lub zgubione.

– powiedział Martin McKay, jeden z szefów firmy Texthelp.

Jak uchronić się przed cryptojackingiem?

Czy istnieje w 100% skuteczny sposób na uchronienie się przed cryptojackingiem? Nie sądzę. Jeśli jednak nie chcecie by Wasz komputer kopał w tajemnicy kryptowaluty, warto najpierw obserwować strony, które odwiedzacie. Jeśli wiatraki nagle zaczną działać jak szalone, może być to pierwszym sygnałem by zajrzeć w procesy systemu. Nie zaszkodzi również korzystanie z aktualnego oprogramowania typu antymalware, antywirusowego i instalacja w przeglądarce pluginu anty-adware. Można też zmienić przeglądarkę – nowa Opera dostałą na przykład zabezpieczenie NoCoin, które teoretycznie eliminuje problem kopania kryptowalut podczas przeglądania stron internetowych.

grafiki:

PromesaStudio/Depositphotos
spaxiax/Depositphotos

źródło: 1, 2

  • Xsxa11

    Albo dodatek do Firefoxa i po sprawie.

  • Zdzicho Wendzonka z targowiska

    „czy spodziewalibyście się, że Wasz komputer zacznie kopać kryptowaluty gdy przeglądacie stroną rządową?”

    W Polsce wszystko jest mozliwe, zatem to „spodziewalibyscie sie” jest jak najbardziej możliwe.

    • Bulitl

      „Tymczasem pluginem do kopania kryptowalut zostało zarażonych tysiące stron, w tym również te będące własnością rządów USA i Wielkiej Brytanii.”

      Ani słowa o polskich witrynach rządowych. Czytaj artykuł następnym razem.