Hackers Hit Make-A-Wish Spletna stran s kriptojacking Scheme


V zadnjem času leto ali celo, kriptojacking-ki sili računalniku, da mine kriptocurrency za slabe fantje, ko obiščete okuženega spletnega mesta – je postal eden od najbolj prodornih bugov na internetu. Prikazana je povsod, tudi znotraj kritične infrastrukture. Zdi se, da so njeni strokovnjaki v zadnjem času dosegli novo nizko stopnjo, ki je ogrozila spletno stran Make-A-Wish, častitvenega dobrodelnega dela, ki ponuja izkušnje za otroke z resnimi ali končnimi boleznimi.

Hack

Med nedavnim pregledovanjem okuženih mest je raziskovalec Trustwave SpiderLabs Simon Kenin prešel mimo številnih domen, ki so postali žrtve kriptojackinga. Ni tako nenavadno v teh dneh, vendar je na mestu, ki ga je prizadela, skočil na njega: https://worldwish.org/en. To je dom "Make-A-Wish International".

Ni nič posebej novega o tem, kako so hekerji ogrozili spletno mesto. Spletna stran Make-A-Wish je bila delno zgrajena z Drupal, priljubljenim sistemom za upravljanje z vsebinami odprtokodnih vsebin. V marcu je Družba Drupal razkrila kritično ranljivost, ki je omogočila hekerjem, da vnašajo zlonamerno kodo na spletna mesta, ki niso uspela namestiti razpoložljivega popravka. Na stotine lokacij je to pomlad zapustil tako imenovano Drupalggedon 2 bug, po analizi varnostnega raziskovalca Troya Murscha, z več kot 100.000 potencialno izpostavljenimi. Make-A-Wish je bil eden izmed njih, verjetno ujete v široko mrežo.

"Kriminalci bodo izvajali le nekaj ranljivosti," pravi Karl Sigler, upravitelj obveščevalnih podatkov pri Trustwave SpiderLabs. "Verjetno imajo nekaj optičnega bralnika ukazne vrstice, ki skenira le eno specifično ali dve ali tri posebne ranljivosti, nato pa začnejo preprosto brskati po naslovih spletnih strežnikov." Večina procesa, od iskanja ranljivih mest do dejanskega izkoriščanja, je verjetno avtomatiziran.

V primeru Make-A-Wishja, napadalci so uporabili unpatched bug Drupal, da bi vstavili programsko opremo za kriptografijo, imenovano CoinImp, na spletno stran, ki je prisilila vse gostujoče računalnike, da bi šli v kriptocurrency Monero. (Zahvaljujoč vgrajenim zasebnim ukrepom je Monero postal precej priljubljen med kriptoaktorji in na temnem spletu.)

"Zavedamo se, da je spletna stran Make-A-Wish International Worldwish.org vplivala na ranljivost, ki je bila odstranjena in odpravljena", pravi portparola Make-A-Wish Silvia Hopkins. "S tem dogodkom ni bila ogrožena nobena informacija o donatorju. Prednostna naloga podjetja Make-A-Wish International, da ohranja spletno varnost pred grožnjami tretjim osebam, ostaja prednostna naloga. "

Kdo je prizadet?

Točno število ljudi, ki jih je prizadel ta incident, je verjetno neznano, še posebej, ker ni natančno, koliko časa je trajala okužba CoinImp. Toda kdorkoli, ki je v tem času obiskal spletno stran »Make-A-Wish«, bi bil, čeprav dolgo, svoj CPU obsegal svoje znanje. Stvari bi se vrnile v normalno stanje takoj, ko so zaprli zavihek ali se pomaknili na drugo stran.

Bolje vprašanje, čeprav je morda, koliko ljudi vpliva na ta splošni val kriptojacking napadov, ki ciljajo na ranljive Drupal strani. Medtem ko se zdi, da izhajajo iz ene skupine ali zbirke akterjev, je osnovno, da se potegnejo. "Veliko spletnih strani uporablja drupal, izkoriščanje pa je javno dostopno v vseh oblikah," pravi Sigler. "Resnično, vsakdo bi lahko začel te napade."

Obliž je na voljo že več mesecev, vendar podjetja in neprofitne organizacije lahko počasi posodobijo svoja spletna mesta zaradi številnih razlogov. Sigler ugotavlja, da majhna informacijska služba morda ne bo imela pasovne širine, da bi dala prednost varnosti, večnacionalne družbe pa se lahko zaradi logističnih pritiskov počasi premikajo. Čeprav pravočasno ne odpravlja znanih težav, daje cybercriminals skoraj nepremagljivo roko. Samo vprašajte Equifax.

Kako resno je to?

Dobra novica je, da Make-A-Wish v postopku ni izgubil nobenega denarja, napad na CoinImp pa ne bi vplival na osebne podatke donatorjev in prejemnikov dobrodelne organizacije. Če ste obiskali spletno mesto med okužbo, je bil vaš CPU prevelik, medtem ko ste bili tam. Ni idealna, ampak skoraj zagotovo ni dolgoročne škode.

Toda težnost je v opozorilu, kako je postalo izven nadzora kriptojackinga, in kako malo omejuje kriminalce, kamor ga bodo uporabili. Ne glede na to, ali gre za vodni pripomoček ali eno najbolj priljubljenih dobrodelnih organizacij v ZDA, nobena stran ni varna. Vsaj dokler ne pridejo na vrh svojih zaplat.


Več velikih WIRED zgodbe